Разработчики Keybase предупредили, что приложение для Android сохраняло приватные ключи - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
1-12-2017, 12:37
Разработчики Keybase предупредили, что приложение для Android сохраняло приватные ключи - «Новости»
Рейтинг:
Категория: Новости

Разработчики Keybase разослали предупреждения пользователям своего Android-приложения, сообщив о неприятной ошибке, недавно обнаруженной в коде. Оказалось, что приватные ключи некоторых пользователей могли случайно стать частью автоматических бэкапов, которые Android регулярно загружает на серверы Google.



Разработчики Keybase предупредили, что приложение для Android сохраняло приватные ключи - «Новости»


Сервис Keybase предлагает своим клиентам различные решения для идентификации, подтверждения личности и шифрования коммуникаций. Разработчики Keybase утверждают, что их основная цель – сделать интернет безопаснее, чтобы шифрование с открытым ключом стало доступно всем, и пользователям не нужно было разбираться в протоколах, криптографии и обладать глубокими техническими познаниями.


Keybase успешно работает со всеми популярными ОС (Windows, macOS, Linux), и, к примеру, предлагает end-to-end шифрование для Git-операций, обмена сообщениями через Reddit, Twitter, Facebook и так далее.


Теперь разработчики Keybase сообщили, что первые пользователи приложения для Android могли стать жертвами бага. По данным компании, проблема касается примерно 10% пользователей Android-приложения, тогда как общая пользовательская база Keybase насчитывает более 205 000 человек (правда неизвестно, сколько из них пользуются Android).


В чем именно заключается проблема? Каждое устройство, на котором установлен Keybase, генерирует собственную пару ключей. Как оказалось, ранние версии Android-приложения могли включать приватный ключ, хранящийся на устройстве, в состав обычного автоматического бэкапа, который система регулярно загружает на серверы Google. Ключ при этом был зашифрован с помощью специальной парольной фразы (passphrase), которую ни Keybase, ни Google не знают. В итоге пользователь получал возможность восстановить данные из бэкапа даже на другом устройстве и, зная парольную фразу, мог продолжать использование Keybase, как ни в чем не бывало.


Разработчики пишут, что они вовсе не намеревались снабжать Keybase такой функциональностью, и приложение не должно работать из бэкапов, каждое устройство должно иметь собственную пару ключей. Дело в том, что пользователи совершенно не умеют создавать надежные пароли и парольные фразы, и проблема повторного использования одинаковых паролей для разных сервисов в последние годы актуальна, как никогда.


Конечно, для осуществления атаки злоумышленнику понадобится сначала получить доступ к чужому аккаунту Google, извлечь оттуда файлы Android-бэкапа, а затем ввести парольную фразу для Keybase, чтобы расшифровать ключ. Все это кажется маловероятным, если не задумываться о потенциально слабых и ненадежных паролях, которыми пользуется большинство людей. То есть, разработчики признают, что у атакующих в теории есть возможность взломать чужой аккаунт Keybase, в итоге выдав себя за его владельца.


Представители Keybase сообщают, что ошибка в приложении уже была устранена, но просто обновить его будет недостаточно, нужно также сгенерировать новую пару ключей, деактивировав старую.


Источник новостиgoogle.com

Разработчики Keybase разослали предупреждения пользователям своего Android-приложения, сообщив о неприятной ошибке, недавно обнаруженной в коде. Оказалось, что приватные ключи некоторых пользователей могли случайно стать частью автоматических бэкапов, которые Android регулярно загружает на серверы Google. Сервис Keybase предлагает своим клиентам различные решения для идентификации, подтверждения личности и шифрования коммуникаций. Разработчики Keybase утверждают, что их основная цель – сделать интернет безопаснее, чтобы шифрование с открытым ключом стало доступно всем, и пользователям не нужно было разбираться в протоколах, криптографии и обладать глубокими техническими познаниями. Keybase успешно работает со всеми популярными ОС (Windows, macOS, Linux), и, к примеру, предлагает end-to-end шифрование для Git-операций, обмена сообщениями через Reddit, Twitter, Facebook и так далее. Теперь разработчики Keybase сообщили, что первые пользователи приложения для Android могли стать жертвами бага. По данным компании, проблема касается примерно 10% пользователей Android-приложения, тогда как общая пользовательская база Keybase насчитывает более 205 000 человек (правда неизвестно, сколько из них пользуются Android). В чем именно заключается проблема? Каждое устройство, на котором установлен Keybase, генерирует собственную пару ключей. Как оказалось, ранние версии Android-приложения могли включать приватный ключ, хранящийся на устройстве, в состав обычного автоматического бэкапа, который система регулярно загружает на серверы Google. Ключ при этом был зашифрован с помощью специальной парольной фразы (passphrase), которую ни Keybase, ни Google не знают. В итоге пользователь получал возможность восстановить данные из бэкапа даже на другом устройстве и, зная парольную фразу, мог продолжать использование Keybase, как ни в чем не бывало. Разработчики пишут, что они вовсе не намеревались снабжать Keybase такой функциональностью, и приложение не должно работать из бэкапов, каждое устройство должно иметь собственную пару ключей. Дело в том, что пользователи совершенно не умеют создавать надежные пароли и парольные фразы, и проблема повторного использования одинаковых паролей для разных сервисов в последние годы актуальна, как никогда. Конечно, для осуществления атаки злоумышленнику понадобится сначала получить доступ к чужому аккаунту Google, извлечь оттуда файлы Android-бэкапа, а затем ввести парольную фразу для Keybase, чтобы расшифровать ключ. Все это кажется маловероятным, если не задумываться о потенциально слабых и ненадежных паролях, которыми пользуется большинство людей. То есть, разработчики признают, что у атакующих в теории есть возможность взломать чужой аккаунт Keybase, в итоге выдав себя за его владельца. Представители Keybase сообщают, что ошибка в приложении уже была устранена, но просто обновить его будет недостаточно, нужно также сгенерировать новую пару ключей, деактивировав старую. Источник новости - google.com

Теги: CSS, Keybase Keybase, могли Android пару

Просмотров: 909
Комментариев: 0:   1-12-2017, 12:37
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: