How the Signal Knockoff App TeleMessage Got Hacked in 20 Minutes
a year ago
- #government
- #encryption
- #cybersecurity
- 特朗普的国家安全顾问迈克·沃尔兹被发现使用名为TeleMessage Signal(TM SGNL)的Signal克隆软件查阅信息,该软件会存档消息,存在安全隐患。
- 黑客利用弱密码哈希(MD5)和过时的JSP技术轻松入侵TeleMessage,获取了用户名、密码和聊天记录等敏感数据。
- 黑客在TeleMessage的存档服务器上发现了一个易受攻击的URL(/heapdump),暴露了未加密的消息,包括来自美国海关和边境保护局以及Coinbase的通信。
- TeleMessage的存档服务器配置错误,暴露了Spring Boot Actuator的堆转储端点,其中包含加密密钥和明文聊天记录等敏感数据。
- 尽管存在已知的安全漏洞,特朗普政府仍在使用TeleMessage,包括沃尔兹的手机,危及国家安全通信。