El 29 de enero, informé cómo los usuarios de iPhone de Apple estaban expuestos a una explotación de espionaje de FaceTime. Ese exploit permitió a un atacante escuchar a los usuarios de FaceTime comunicándose con el foco, incluso si no contestaron la conexión. En algo parecido a un déjà vu instantáneo, ahora se ha verificado que se podría utilizar un exploit similar de “teléfono no cerrado” para escuchar en los usuarios de Android de la aplicación de mensajería protegida Sign. Esto es todo lo que necesita saber.
¿Cómo funcionó el exploit de espionaje de Sign?
Natalie Silvanovich, ingeniera de protección que forma parte del equipo de estudio de vulnerabilidades de Google en Challenge Zero, reveló cómo un error en el cliente de Android Sign podría permitir que un atacante espíe a un usuario sin necesidad de que lo comprenda. De manera similar a la vulnerabilidad de FaceTime que se informó al comienzo del año, un atacante podría llamar a la víctima e iniciar un “remedio de automóvil” sin que la persona aceptara el contacto.
El error permitía que un pirata informático llamara a un concentrado en el producto, y la simple llamada sería respondida sin que el destinatario tuviera que conectarse, lo que básicamente permitía que el pirata informático prestara atención a la víctima. “Cuando el teléfono está sonando, se puede presionar el botón de silencio de audio para hacer que la unidad de la persona a la que llama se conecte”, dijo Silvanovich, “y el audio de la unidad de la persona que llama será audible”. Al presionar el botón de silencio lo suficientemente rápido, el atacante podría reducir las probabilidades de que el objetivo se dé cuenta de que incluso se diseñó una conexión. Sin embargo, a diferencia del exploit de FaceTime, Silvanovich explicó que solo se puede espiar el audio como “los requisitos individuales para habilitar manualmente el video en todas las llamadas telefónicas”.
¿Qué tan peligroso fue este exploit de Sign?
Casi cualquier cosa que pueda eludir las acciones de privacidad para una empresa en la que las llamadas telefónicas son, según la página web de la propiedad de Sign, “diseñadas minuciosamente para mantener su conversación protegida”, debe tomarse con severidad. Principalmente presentó cómo Signal es aplicado por muchos activistas políticos, disidentes y periodistas de investigación donde la privacidad es mucho más que una palabra de moda.
La técnica revelada por Silvanovich para espiar a los usuarios de Signal requeriría que el atacante modificara primero el código de la aplicación de Android Signal reemplazando el método “handleSetMuteAudio” en el archivo “WebRtcCallService.java” y luego reconstruyendo el usuario después. Esto normalmente lo saca del alcance del atacante causal.
También puede agregar la mitigación aún mayor de que solo la aplicación de Android era posible, ya que un error en la interfaz de persona del cliente de iOS impidió que el contacto finalizara.
¿Qué tienes que hacer ahora?
El lector con ojo de águila sin duda habrá reconocido que he estado haciendo uso del tiempo anterior. Open Whisper Programs le dijo a Vice que el problema se estableció el mismo día hábil, el 27 de septiembre, como se señaló. La última actualización de la aplicación de Android en Google Play es la 4.47.7, que se actualizó el 1 de octubre.
Un portavoz de Signal ha presentado la siguiente declaración:
“Los usuarios escuchaban un tono de llamada audible o sentían que su teléfono vibraba en su bolsillo, como cualquier otra llamada de Signal. Incluso si la llamada se respondía rápidamente, los usuarios finales verían una indicación visible de que había un contacto en curso. También siempre habrá un documento de la llamada completada en la parte superior de su lista de diálogo”.
El portavoz de Sign también verificó que la solución para este error es la versión 4.47.7 de la aplicación, tal como se lanzó a Google Play el 1 de octubre. última variación a medida que se lanzan, el riesgo de que te espíen trabajando con este exploit sigue siendo mínimo, de hecho. Si está descargando algo como Sign de una tienda de terceros que no es de confianza, ahora tiene problemas de privacidad.
¿Todavía confío en Sign para proporcionar una experiencia de mensajería protegida? Puedes apostar. Ha habido informes de problemas con WhatsApp y Telegram que me han involucrado más que esto, y también se han identificado reemplazos supuestamente protegidos para estar buscando.
–
Actual 5 de octubre: esta publicación se actualizó con una afirmación de Signal y para aclarar la metodología de modificación del código.