cve-2025-25-25-7729″=”_ em branco”> Cve-2025 (KEV) Cataloga por volta de 13 de maio. A falha, envolvendo as mensagens de retenção de back-end, contrária às reivindicações de criptografia, foi ativamente explorada. As agências federais são obrigadas a abordar as vulnerabilidades listadas em KEV dentro de três semanas, geralmente descontinuando o uso do produto.
SC Media relatou que, apesar de uma baixa pontuação formal do CVSS, a CISA listou a vulnerabilidade devido a evidências de exploração e seu uso por funcionários de alto escalão. Casey Ellis, fundadora da Bugcrowd, disse à SC Media que a ação da CISA teve como objetivo garantir que as agências federais”fizeram o memorando”não usar o software, afirmando”, dado como o sinal de telemessagem foi usado, e o impacto do que é o acesso a que se acessa, o que é possível acessar os logs exigidos para mim”
ellis ainda mais explicados, o que é acordado com o acesso a que os logs exigem que os logs sejam mais bem-sucedidos. Os registros não criptografados ainda exigiriam algum esforço, mas o impacto desse acesso, principalmente para metas específicas, é muito alto.”. A gravidade da situação levou a CISA a recomendar os usuários “descontinuar o uso do produto”pendente de mais orientações inteligentes. Grupo de Watchdog A supervisão americana também exigiu uma investigação sobre o uso de aplicativos vulneráveis por funcionários do governo. An attacker informed 404 Media earlier in May that the intrusion “wasn’t much effort at all,”and took under 30 minutes, adding, “If I could have found this in less than 30 minutes then anybody else could too. And who knows how long Tem sido vulnerável?”
Isso se deve potencialmente às credenciais codificadas no código-fonte do aplicativo, um pesquisador de segurança de vulnerabilidade Micah Lee destacado após a análise do código publicamente disponível. Lee’s earlier analysis had already pointed to how TeleMessage’s system, designed for message archiving for regulatory compliance, inherently bypasses standard end-to-end Criptografia. Seu exame do código-fonte do Android mostrou que as mensagens são interceptadas após a descrição e enviadas para um servidor de telemessago.
Essa acessibilidade de texto simples foi confirmado quando os hackers forneceram exemplos de mensagens para a mídia. Signal has consistently maintained it “cannot guarantee the privacy or security properties of unofficial versions of Signal.”
Following these public disclosures and a second reported hack detailed by NBC News , Smarsh, o letter to the Attorney General, Wyden urged the DOJ to probe the counterintelligence threat, access by foreign employees to U.S. government messages, and whether TeleMessage shared data with the Israeli O governo ou se Israel influenciou o design do produto. O próprio Lee comentou o design do sistema da Telemessage, sem criptografia de ponta a ponta e sua deturpação desse fato, chamando-a de”uma grande bandeira vermelha”.
Esta não é a primeira questão de segurança de mensagens que envolve valsa. Anteriormente, ele enfrentou críticas, por incluir acidentalmente um jornalista em um grupo de sinais padrão discutindo operações militares sensíveis.
Esse incidente contribuiu para sua partida subsequente como consultor de segurança nacional. A atual violação de telemessago, da qual a negação distribuída de segredos indexou 410 GB de dados, amplia preocupações sobre a segurança das ferramentas de comunicação usadas em todo o governo dos EUA, especialmente considerando os contratos da Telemessage com agências como o Departamento de Estado, DHS e CDC.