Signal предупредил об опасной уязвимости: хакеры могут захватить аккаунт через SMS

Немецкий Федеральный офис информационной безопасности (BSI) выпустил срочное предупреждение для пользователей мессенджера Signal, который долгое время считался оплотом приватности. Эксперты обнаружили уязвимость, угрожающую безопасности аккаунтов.

Хакеры не взламывают шифрование приложения, а используют слабость самого процесса регистрации. Метод основан на социотехнике и смс-фишинге (smishing). Жертва получает сообщение, часто со взломанного аккаунта знакомого, с просьбой помочь «разблокировать доступ» или «верифицировать аккаунт». На самом деле злоумышленник пытается зарегистрировать номер жертвы на своём устройстве и для этого нужен шестизначный проверочный код, который Signal отправляет по SMS.

Если жертва предоставит этот код, хакер мгновенно получит контроль над её учётной записью. Хотя злоумышленник не получит доступа к архивной истории чатов (она хранится локально), он сможет выдавать себя за жертву в существующих группах и новых беседах, вымогая секреты, конфиденциальные данные или распространяя вредоносное ПО среди доверенных контактов.

BSI подчёркивает, что единственной эффективной защитой является активация функции «Блокировка регистрации» (Registration Lock) в настройках приватности Signal. Эта функция добавляет дополнительный PIN-код, без которого повторная регистрация аккаунта на новом устройстве невозможна, даже если у хакера есть код из SMS.