標榜「適合示威場合使用」嘅通訊軟件Bridgefy被發現漏洞超多

高學歷廢青 2020-8-25 10:17:34 https://arstechnica.com/features/2020/08/bridgefy-the-app-promoted-for-mass-protests-is-a-privacy-disaster/

攻擊者可以：
1. 搵到你真實身份
2. Map哂成個地方有邊個同邊個講過嘢，幾時講過嘢
3. 解密direct messages
4. 假扮用戶身份
5. 斷咗成個網絡去
6. 直接MITM，唔淨止即時見到你send/receive啲咩，仲可以即時改你嘅messages

Royal Holloway嘅研究人員已經於4月通知咗Bridgefy公司，但係至今仍然無一個漏洞被fix。

====================

我記得呢個app喺連登有人推薦過，快啲uninstall啦。
真係要玩mesh networking嘅（驚斷網），用open source同埋已經被audit過嘅Briar啦。
https://briarproject.org/

唔好再推薦呢啲proprietary軟件啦~

要叫咩名好 2020-8-25 10:19:30

:^(

允行大戰陳老師 2020-8-25 10:24:13

:^(

棉花球 2020-8-25 10:26:21

:^(

我都係睇連登裝咗
好彩冇用過
即刻uninstall返

霧 2020-8-25 10:27:44

:^(

個肝爆啦 2020-8-25 10:29:48 推

:^(

佐渡守銀山 2020-8-25 10:31:05

:^(

高學歷廢青 2020-8-25 10:49:42 其實每次有呢啲closed-source嘅軟件話自己幾勁幾勁都可以即刻唔用
加密學其實係數學，一個真係work嘅加密方法係應該成個做法公諸於世之後，個攻擊者都冇你符咁先得
而家幾乎全部網上加密傳輸嘅第一步要做嘅key exchange，就係建基於Diffie-Hellman呢個70年代已經公諸於世嘅做法，但係佢嘅elegant之處就係就算個個都知佢嘅運作原理，都係hack唔到（前提係你跟足佢嘅搵作原理咁做）

一啲收埋自己點樣加密，跟住話俾人聽自己好勁嗰啲，根本信唔過。

小明2018 2020-8-25 11:10:10 推

飛雪連天射白濁 2020-8-25 11:29:38 此回覆已被刪除

我係打手 2020-8-25 12:00:02 up

伍廷芳 2020-8-25 12:45:55

:^(

士燮 2020-8-25 12:47:37 此回覆已被刪除

此生只娶前線絲 2020-8-25 13:06:46 Briar我記得係android先有咋喎，用ios班人點算？

此生只娶前線絲 2020-8-25 13:07:44 有得用人哋嗰啲點解唔用？

貓juicy 2020-8-25 13:16:09 有咩最好見面講，講秘密都要send message，都唔慌係重要嘢

LIHKGMr.A 2020-8-25 13:17:58 有飯食洗乜要民主？

LIHKGMr.A 2020-8-25 13:18:42 所以要用 linux, open source 之類軟件

晴耕雨読 2020-8-25 13:21:01 唔好表現自己嘅無知

此生只娶前線絲 2020-8-25 13:25:20

:^(

我唔反對自己整，只係我唔認為用人哋嗰啲就代表自己廢，去踩自己人啫

雖然香港真係no it

高學歷廢青 2020-8-25 13:26:59 其實安全通訊呢啲嘢反而有珠玉在前就唔好自主研發啦
Signal, Element/Riot, Briar已經用咗好多年經驗改善，要用嘅最多幫手improve下
加密嘅嘢個根基自己由頭整嘅話好易出錯

高學歷廢青 2020-8-25 13:28:23 但係Diffie-Hellman真係elegant喎

:^(

唔用elegant你會用咩字

:^(

上古的魔法師 2020-8-25 13:54:34 係有飯食洗乜買外賣先啱

:^(

士燮 2020-8-25 13:56:45 此回覆已被刪除

Migrate 2020-8-25 17:38:20 Push