В Proton Authenticator для iOS выявлено оседание секретных ключей в отладочном логе

05.08.2025 18:52

В представленном на прошлой неделе приложении Proton Authenticator, применяемом для аутентификации при помощи одноразовых паролей, выявлена проблем с конфиденциальностью - в сборках для мобильной платформы iOS забыли отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи для генерации одноразовых паролей. Подобный лог сводил на нет шифрование ключей и ограничение к ним доступа по PIN-коду или биометрической аутентификации. Проблема устранена в обновлении 1.1.1. В сборках для Android в лог сохранялся только идентификатор ключа, а не сам ключ.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/63685-authenticator

Ключевые слова: authenticator, proton

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, Аноним (-), 19:02, 05/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи А вроде на kotlin, swift и прочих рустах. Казалось бы что может пойти не так? Что еще эксперты от крипто там забыли или забили?

1.4, жявамэн (ok), 19:05, 05/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
луникс-иксперды а как лог, который лежит в песочнице приложения является компрометацией? аппле и так все пароли может украсть если захочет. а другие приложения в песочницу к другому никак зайти не смогут

2.11, Аноним (11), 19:58, 05/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
отобрали у тебя твой айфон, подключили к компьютеру, приложили твой палец, а не, сейчас так не принято, показали айфону твой фейс, тыкнули что доверять этому компьютеру, и скопировали все логи! профит!

3.19, Минона (ok), 22:15, 05/08/2025 [^] [^^] [^^^] [ответить]	+/–
Теперь даже паяльник не требуется?!

1.7, Аноним (7), 19:26, 05/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Гугл-аутентификатор-господа снисходительно посмеиваются. Пусть он и не опен-сорс, зато простой как полено и таких детских болезней не имеет. Как можно было настолько ошибиться в приложении уровня хелло-ворлд, чья задача просто выводить код, вычисленный по наипростейшей формуле?

2.13, Аноним (11), 20:02, 05/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> Как можно было настолько ошибиться в приложении уровня хелло-ворлд, чья задача просто выводить код, вычисленный по наипростейшей формуле? они еще не посмотрели как в этом приложении синхронизация работает! наверняка и там что-то напутали, на дев-сервер в АНБ данные отправляются

1.9, 12yoexpert (ok), 19:32, 05/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
не прокатило ничего, есть ещё почта

1.10, Аноним (11), 19:37, 05/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а в обновлении 1.1.2 снова забудут отключить?

1.14, User (??), 20:10, 05/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
... но стоило мне ОДИН РАЗ...(С)

1.15, Tron is Whistling (?), 20:40, 05/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"Забыли", ага. И платформа как раз правильная для "забывания". Яббл - пока единственный, кто не сдал шифрование.

1.16, Tron is Whistling (?), 20:44, 05/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А если по серьёзу - фейл такого масштаба прямо на старте, да ещё после кучи баззвордов... Добавил в список "обходить стороной", мало ли ещё чего там забудут.

2.17, Аноним (-), 22:03, 05/08/2025 [^] [^^] [^^^] [ответить]	+/–
> А если по серьёзу - фейл такого масштаба прямо на старте, да ещё после кучи > баззвордов... Добавил в список "обходить стороной", мало ли ещё чего там забудут. Хайп на секурити обычно заканчивается как-то так.

2.18, Аноним (18), 22:11, 05/08/2025 [^] [^^] [^^^] [ответить]	+/–
Да на каком старте? Протон уже и так по уши в дерьме.

3.21, Аноним (21), 22:20, 05/08/2025 [^] [^^] [^^^] [ответить]	+/–
А чего ж его блочат у нас ?

4.22, 12yoexpert (ok), 22:37, 05/08/2025 [^] [^^] [^^^] [ответить]	+/–
у нас ничего не блочат

игнорирование участников | лог модерирования

Добавить комментарий

Текст: