Tres informáticos argentinos alertaron sobre una vulnerabilidad «con implicancias graves» en la aplicación de mensajería Signal. Dicha falla permitía, entre otras cosas, tomar el control del dispositivo y acceder a sus archivos.
Signal es una aplicación de mensajería instantánea lanzada en 2016. Se popularizó por ser considerada más segura que sus competidoras Whatsapp o Telegram. Sin embargo, los especialistas Alfredo Ortega, Iván Barrera Oro y Juliano Rizzo encontraron una falla potencialmente grave.
Los especialistas descubrieron que Signal permitía enviar «casi cualquier tipo de códigos de programación». Así, un atacante podía tomar el control del dispositivo de destino del mensaje.
«Es un ataque sencillo que se apuraron a arreglar», dijo Alfredo Ortega a Télam. «No sólo permitía apropiarte de toda la aplicación, podías robar, por ejemplo, claves privadas. Al principio pensábamos que era de bajo alcance. Pero es terrible porque se podía hacer que fuera un ‘gusano’ que reenvíe el código a toda red sin que el usuario hiciera nada», sostuvo.
Vulnerabilidades en Signal
Según descubrieron los investigadores, un atacante podía enviar dentro de un mensaje de Signal un código en javascript (un idioma de programación) a un destinatario. Ese sólo hecho le permitía no sólo acceder a datos y archivos almacenados sino que, además, se podía transmitir automáticamente a sus contactos, infectándolos de la misma manera.
«Se ejecuta sin que el chat esté abierto, aunque Signal esté en modo background» en el dispositivo de destino, explicó Ortega.
En ese mismo sentido, afirmó que probablemente el lunes próximo publiquen su investigación con las implicancias de la vulnerabilidad. Si bien Signal puso un parche, tratarán de constatar que se hayan subsanado todas las deficiencias de seguridad.
«El problema es que Signal se publicitó como una app de mensajería más segura que las demás, por lo que es posible que se haya compqartido material muy sensible y que estuviera expuesto a ataques», concluyó Ortega.
Fuente: Télam.