El error de Signal Messenger permite a las personas que llaman conectarse automáticamente a las llamadas sin la interacción de los teléfonos
Casi todas las aplicaciones contienen vulnerabilidades de seguridad, algunas de las cuales puede encontrar hoy, pero otras permanecerían invisibles hasta que alguien más las encuentre y las explote, que es la dura realidad de la ciberseguridad y su estado actual.
Y cuando decimos esto Señal de mensajería privadapromovido como uno de los mensajeros más seguros del mundo, no es una excepción.
Natalie Silvanovich, investigadora de Google Project Zero, descubrió una vulnerabilidad lógica en la aplicación de mensajería Signal para Android que podría permitir que la persona que llama maliciosamente obligue a responder una llamada desde el extremo del destinatario sin requerir su interacción.
En otras palabras, la falla podría aprovecharse para encender el micrófono del dispositivo de un usuario de Signal específico y escuchar todas las conversaciones circundantes.
Sin embargo, la vulnerabilidad de la señal solo se puede aprovechar si el receptor no responde a una llamada de audio en Signal, lo que posiblemente lo obligue a responder automáticamente a la llamada entrante en el dispositivo receptor.
«Hay un método handleCallConnected en el cliente de Android que hace que la llamada termine de conectarse. En el uso normal, se llama en dos situaciones: cuando el dispositivo llamado acepta la llamada cuando el usuario selecciona ‘aceptar’ y cuando el dispositivo que llama recibe una mensaje de «conexión» entrante que indica que el destinatario ha aceptado la llamada «, explica Silvanovich en Blog de Chromium.
«Con un cliente modificado, es posible enviar el mensaje» conectar «a un dispositivo llamado cuando una llamada entrante está en curso pero el usuario aún no ha sido aceptada. Esto hace que la llamada sea respondida, incluso si el usuario ha no ha interactuado con el dispositivo «.
Tenga en cuenta que «la llamada conectada solo será una llamada de audio, ya que el usuario debe habilitar manualmente el video en todas las llamadas».
Silvanovich también mencionado que «Signal tiene esta gran superficie de ataque remoto debido a limitaciones en WebRTC» y la falla de diseño también afecta a la versión iOS de la aplicación de mensajería, pero no se puede explotar porque «la llamada no se completó debido a un error de IU causado por una secuencia inesperada de estados «.
Silvanovich informó esta vulnerabilidad al equipo de seguridad de Signal la semana pasada.
El equipo de seguridad de Signal reconoció inmediatamente el problema y lo solucionó en unas horas el mismo día con el lanzamiento de Signal para Android v4.47.7, Confirmó la empresa The Hacker News.
¿Cuál es tu opinión? Déjame escribirlo de nuevo: ve e instala la última actualización disponible de la aplicación Signal Private Messenger de Google Play Store y asegúrate de ejecutar siempre aplicaciones actualizadas en tus dispositivos Android e iOS.