研究人员发现流行的以隐私为中心的消息传递应用Signal中存在一个严重漏洞，该漏洞影响了数百万的iOS和Android用户。

该漏洞由安全公司Tenable发现，该漏洞可能使黑客能够访问用户的粗略位置数据并绘制移动方式-例如用户可能在家，工作或他们最喜欢的本地出没的时间段。

要执行攻击，黑客只需使用Signal即可呼叫另一个用户，无论是否接听电话，其位置都可能受到影响。

该错误是在Android上的Signal v4.59.0中引入的，而自v3.8.0.34起的任何版本的iOS用户都可能处于危险之中。

信号漏洞

Signal消息应用程序具有通话和短信的端到端加密功能，每天在Android和iOS上吸引数百万关注隐私的用户。甚至臭名昭著的举报人和数据隐私拥护者爱德华·斯诺登都声称“每天都使用Signal”。

但是，根据Tenable发布的一份咨询报告，从隐私的角度来看，该应用程序并不像用户期望的那样具有水密性。

新发现的漏洞可用于泄露有关用户DNS的信息，进而泄露粗略的位置数据，并使黑客能够识别受害人在400英里半径范围内的位置。

尽管这对于大多数人来说似乎无关紧要，但黑客可以使用粗略的位置数据结合来自不同网络（国内Wi-Fi，公共热点，4G连接等）的DNS服务器ping来进行更精确的位置假设。

Signal很快通过GitHub 发布了该漏洞的补丁，Tenable在其通报中对此表示赞赏。但是，这家安全公司认为，该补丁程序需要大多数用户无法提供的技术专业知识，这意味着黑客可以自由滥用该漏洞，直到在Apple App Store和Google Play商店中提供该补丁程序为止。

在此期间，Tenable建议Signal用户安装提供DNS隧道的VPN服务，这可能会阻止攻击者利用此漏洞。

Signal并未立即回应我们的置评请求。