Десктопное расширение приложения Keybase, призванного обезопасить передачу трафика, не обеспечивает в должной мере заявленное разработчиками сквозное шифрование. В ходе анализа работы расширения создатель инструмента AdBlock Plus Владимир Палант заметил , что передаваемые сообщения видимы стороннему JavaScript коду.
Расширение добавляет опцию "Keybase Chat" на страницы профилей в Facebook, Twitter, GitHub, Reddit и Hacker News. Нажатие на кнопку открывает окно чата, где пользователи могут вводить свои сообщения. Как указано в разделе вопросов и ответов политики Keybase, "готовый текст отправляется локальной копии Keybase, которая шифрует сообщение и отправляет его через чат Keybase". По словам Паланта, в этом и кроется проблема: сообщения не шифруются "по пути" к десктопному расширению. Keybase внедряет соответствующую кнопку, но не изолируется от web-страниц.
"Сообщение Keybase, которое вы вводите на Facebook, ни в коей мере не конфиденциально. JavaScript код Facebook может прочитать текст, в то время как вы вводите его", - пояснил Палант.
Данный факт представляет существенный риск, особенно в случаях, если браузер пользователя или JavaScript код ресурсов скомпрометирован. По словам Паланта, использование iframe помогло бы решить проблему, однако в ответ на предложение специалиста разработчики Keybase сообщили, что это невозможно по техническим причинам.
Палант порекомендовал пользователям деинсталлировать приложение, особенно если оно используется для конфиденциальной коммуникации.