В представленном на прошлой неделе приложении Proton Authenticator, применяемом для аутентификации при помощи одноразовых паролей, выявлена проблем с конфиденциальностью - в сборках для мобильной платформы iOS забыли отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи для генерации одноразовых паролей. Подобный лог сводил на нет шифрование ключей и ограничение к ним доступа по PIN-коду или биометрической аутентификации. Проблема устранена в обновлении 1.1.1. В сборках для Android в лог сохранялся только идентификатор ключа, а не сам ключ...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63685

• В Proton Authenticator выявлено оседание секретных ключей в ...,Аноним, 19:02 , 05-Авг-25
  • В Proton Authenticator выявлено оседание секретных ключей в ...,blkkid, 05:13 , 06-Авг-25
  • В Proton Authenticator выявлено оседание секретных ключей в ...,Жироватт, 09:19 , 06-Авг-25
    • В Proton Authenticator выявлено оседание секретных ключей в ...,Аноним, 07:20 , 09-Авг-25
  • В Proton Authenticator выявлено оседание секретных ключей в ...,penetrator, 19:28 , 06-Авг-25
• В Proton Authenticator выявлено оседание секретных ключей в ...,жявамэн, 19:05 , 05-Авг-25
  • В Proton Authenticator выявлено оседание секретных ключей в ...,Аноним, 19:58 , 05-Авг-25
    • В Proton Authenticator выявлено оседание секретных ключей в ...,Минона, 22:15 , 05-Авг-25
      • В Proton Authenticator выявлено оседание секретных ключей в ...,нах., 07:31 , 06-Авг-25
        • В Proton Authenticator выявлено оседание секретных ключей в ...,Минона, 09:58 , 06-Авг-25
• В Proton Authenticator выявлено оседание секретных ключей в ...,Аноним, 19:26 , 05-Авг-25
  • В Proton Authenticator выявлено оседание секретных ключей в ...,Аноним, 20:02 , 05-Авг-25
  • В Proton Authenticator выявлено оседание секретных ключей в ...,нах., 07:38 , 06-Авг-25
    • В Proton Authenticator выявлено оседание секретных ключей в ...,Tron is Whistling, 09:35 , 06-Авг-25
    • В Proton Authenticator выявлено оседание секретных ключей в ...,Tron is Whistling, 09:37 , 06-Авг-25
  • В Proton Authenticator выявлено оседание секретных ключей в ...,Онаним443, 09:06 , 06-Авг-25
• В Proton Authenticator выявлено оседание секретных ключей в ...,12yoexpert, 19:32 , 05-Авг-25
• В Proton Authenticator выявлено оседание секретных ключей в ...,Аноним, 19:37 , 05-Авг-25
  • В Proton Authenticator выявлено оседание секретных ключей в ...,Yessir, 01:30 , 07-Авг-25
• В Proton Authenticator для iOS выявлено оседание секретных к...,User, 20:10 , 05-Авг-25
  • В Proton Authenticator для iOS выявлено оседание секретных к...,Жироватт, 09:21 , 06-Авг-25
• В Proton Authenticator для iOS выявлено оседание секретных к...,Tron is Whistling, 20:40 , 05-Авг-25
  • В Proton Authenticator для iOS выявлено оседание секретных к...,нах., 07:40 , 06-Авг-25
• В Proton Authenticator для iOS выявлено оседание секретных к...,Tron is Whistling, 20:44 , 05-Авг-25
  • В Proton Authenticator для iOS выявлено оседание секретных к...,Аноним, 22:03 , 05-Авг-25
  • В Proton Authenticator для iOS выявлено оседание секретных к...,Аноним, 22:11 , 05-Авг-25
    • В Proton Authenticator для iOS выявлено оседание секретных к...,Аноним, 22:20 , 05-Авг-25
      • В Proton Authenticator для iOS выявлено оседание секретных к...,12yoexpert, 22:37 , 05-Авг-25
        • В Proton Authenticator для iOS выявлено оседание секретных к...,Аноним, 13:46 , 07-Авг-25
          • В Proton Authenticator для iOS выявлено оседание секретных к...,Ogent, 08:24 , 08-Авг-25
      • В Proton Authenticator для iOS выявлено оседание секретных к...,нах., 07:46 , 06-Авг-25
      • В Proton Authenticator для iOS выявлено оседание секретных к...,User, 07:47 , 06-Авг-25
        • В Proton Authenticator для iOS выявлено оседание секретных к...,Жироватт, 09:24 , 06-Авг-25
          • В Proton Authenticator для iOS выявлено оседание секретных к...,Tron is Whistling, 09:33 , 06-Авг-25
          • В Proton Authenticator для iOS выявлено оседание секретных к...,User, 10:23 , 06-Авг-25
    • В Proton Authenticator для iOS выявлено оседание секретных к...,Tron is Whistling, 09:34 , 06-Авг-25
      • В Proton Authenticator для iOS выявлено оседание секретных к...,Аноним, 14:40 , 07-Авг-25
        • В Proton Authenticator для iOS выявлено оседание секретных к...,Tron is Whistling, 22:24 , 07-Авг-25
• В Proton Authenticator для iOS выявлено оседание секретных к...,Аноним, 00:12 , 06-Авг-25
  • В Proton Authenticator для iOS выявлено оседание секретных к...,нах., 07:47 , 06-Авг-25
    • В Proton Authenticator для iOS выявлено оседание секретных к...,ryoken, 07:51 , 06-Авг-25
      • В Proton Authenticator для iOS выявлено оседание секретных к...,User, 07:56 , 06-Авг-25
        • В Proton Authenticator для iOS выявлено оседание секретных к...,ryoken, 08:04 , 06-Авг-25
        • В Proton Authenticator для iOS выявлено оседание секретных к...,нах., 17:38 , 06-Авг-25
• В Proton Authenticator для iOS выявлено оседание секретных к...,Имя, 08:01 , 06-Авг-25

> отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи

А вроде на kotlin, swift и прочих рустах. Казалось бы что может пойти не так? Что еще эксперты от крипто там забыли или забили?

к сожалению, от тупости никакой язык никогда не спасёт

честно говоря, мне приложение показалось вообще навайбкоденным и внаглую скопированным с ente auth, который тоже облачный кодогенератор с E2EE, только от другой компании (и достаточно долго уже существует)

Никогда такого не было - и вот опять: очередная серебряная пуля, "баззворд пятилетки" не спасает от таких вот примитивных факапов

Нужен срочно язык, который надо назвать CORROSION. Его фичей будет ультимативная безомасность логов и отладки: сам код будет скомпилирован для архитектуры БЭСМ-6, который будет выполняться в специальной виртуалке, которая запускается из специализированного БИЗАПАСНОГО окружения (расшифровываемого лоадером на лету при запуске и необходимости считать блок, каждый блок байт из этого окружения будет шифроваться ключом, хранящемся в предыдущем блоке, гарантированно уникальным). Это окружение будет давать доступ к логам только если программист вставил свою смарт-карту, прошел биометрию и еще одни фактор со звонком нейросети на телефон, смог ответить на 18 вопросов о себе и станцевал на камеру чечётку и ламбаду.

Ух, ЗАЖИВЁМ!

Хорошо, что танец на выбор. Нельзя забывать о *СВОБОДАХ*!!1 пользователей.

котлин ущербный, хуже свифта даже, лучше уж чистая Java

луникс-иксперды а как лог, который лежит в песочнице приложения является компрометацией?
аппле и так все пароли может украсть если захочет.
а другие приложения в песочницу к другому никак зайти не смогут

отобрали у тебя твой айфон, подключили к компьютеру, приложили твой палец, а не, сейчас так не принято, показали айфону твой фейс, тыкнули что доверять этому компьютеру, и скопировали все логи! профит!

Теперь даже паяльник не требуется?!

Просто теперь надо его в ж0пу совать а не в ноздрю - личико пригодится ипхон отпереть.

> Просто теперь надо его в ж0пу совать а не в ноздрю -

А шо, так можно было?!

Гугл-аутентификатор-господа снисходительно посмеиваются. Пусть он и не опен-сорс, зато простой как полено и таких детских болезней не имеет. Как можно было настолько ошибиться в приложении уровня хелло-ворлд, чья задача просто выводить код, вычисленный по наипростейшей формуле?

> Как можно было настолько ошибиться в приложении уровня хелло-ворлд, чья задача просто выводить код, вычисленный по наипростейшей формуле?

они еще не посмотрели как в этом приложении синхронизация работает! наверняка и там что-то напутали, на дев-сервер в АНБ данные отправляются

> Как можно было настолько ошибиться в приложении уровня хелло-ворлд

А где тут - ошибка? Это ж системная функция. Модные-современные-вейп-кодерки не представляют себе написания программы без логгинга каждого пука. Еще и ужасно огорчаются когда им сообщают что хранилка не резиновая.

Вот почему эти логи еще не отправлялись в пару "надежных" еластиков где-то в Парагвае - этого вот я не могу понять. Может в релизной сборке забыли включить.

> Модные-современные-вейп-кодерки не представляют себе написания программы без логгинга каждого пука.
> Еще и ужасно огорчаются когда им сообщают что хранилка не резиновая.

Не в бровь, а в шоколадный толерантный глаз.

И потом "ничо, мы ща data lake на s3 от [провайдера вписать] построим, место будем ж**й есть". Им говоришь - "вы рехнулись?"

И через полгода такой приходит финансист грит "робята, вы чо, ох***, мы за этот месяц ох***ард заплатили за вот этот сторейж сервис или как оно у вас", а ты ему так пальчиком на отдел девляпсов показываешь, говоришь, это, может авгиевы конюшни уже сейчас расчистить, а то мы их как-то любим слишком...

Гугл аутентикатор еще и с гуглом синхронизирует все ключи по дефолту, угнвли гугл акк и все ключики тоже, безопасно

не прокатило

ничего, есть ещё почта

а в обновлении 1.1.2 снова забудут отключить?

Когда будет нужно, включат.
Разработчика отпускать не хотели просто, теперь отпустят.

... но стоило мне ОДИН РАЗ...(С)

Да, Олаф, ту попойку теперь уже никто не забудет

"Забыли", ага. И платформа как раз правильная для "забывания".
Яббл - пока единственный, кто не сдал шифрование.

бритву хэнлона не проходит.

А если по серьёзу - фейл такого масштаба прямо на старте, да ещё после кучи баззвордов... Добавил в список "обходить стороной", мало ли ещё чего там забудут.

> А если по серьёзу - фейл такого масштаба прямо на старте, да ещё после кучи
> баззвордов... Добавил в список "обходить стороной", мало ли ещё чего там забудут.

Хайп на секурити обычно заканчивается как-то так.

Да на каком старте? Протон уже и так по уши в дерьме.

А чего ж его блочат у нас ?

у нас ничего не блочат

В России блочат только в путь, уже даже ограничивают скорость за пределами чебурнета у некоторых провайдеров. Это можно было увидеть по speedtest, до того как его тоже заблокировали

https://fiber.google.com/speedtest/

ну может он товарищмаёру отказал в любви (хотел за деньги, а майор же денег не берет)? А с господином штурмбаннфюрером вот - поделился.

Это не у нас, это у них оборудование деградировало! Читайте официальный канал РКН в мессенджере MAX - только там проверенная информация!

Как показало время, года с ~2014го - уж лучше РКН в МАХ, чем набросы от очередной дочери офицера на анонимной помойке

То, что вы написали - оно даже не в списке "обходить стороной".
Оно в "deny under any circumstances".

Ну как по мне, так "и раввин, и капуцин одинаково воняют" - да и вообще, дихотомия очевидно ложная - но вы, разумеется, вольны верить в "дергадацию детей защитой оборудования", "хитрые планы" и вот это вот всё - кто ж вам запретит-то?

> Да на каком старте? Протон уже и так по уши в дерьме.

Не, ну вы не путайте VPN c яичницей.

Я не про VPN, а про компанию вообще. Которая якобы за «сеьюрность».

Секурность и third-party VPN, вы серьёзно?
Оно по определению заранее untrusted, поэтому что там забыли - как-то фиолетово.

Срез всей айти отрасти 21го века и опенсорса впридачу - в одной новости :)

Но, обратите внимание - тысячегласс не спит!

>>тысячегласс

..ээ.. хмм... Гекатонхейр..? (или как там это древнегреческое чудище звали-то...)

> ..ээ.. хмм... Гекатонхейр..? (или как там это древнегреческое чудище звали-то...)

Но-но! Эти вот - сторукими были (Откуда руки росли - мифы умалчивают, так что скорее всего тоже годится), а тысячагласс был великан Аргус (Спойлер - кончил плохо, тысячуглассоф приватизировала корпоратка-Гера, так что тоже - тора-диция!).

> Но-но! Эти вот - сторукими были (Откуда руки росли - мифы умалчивают,
> так что скорее всего тоже годится), а тысячагласс был великан Аргус
> (Спойлер - кончил плохо, тысячуглассоф приватизировала корпоратка-Гера, так что тоже -
> тора-диция!).

Прошу прощения, мифы читал в школе, память имеет ненужное свойство деградировать с возрастом. Перепутал-с... :)

"этих" - в отдел девопс!

fix: improve log messages