Google encontró un importante fallo de seguridad en Signal, Messenger y otras apps de mensajería Unocero
20 de Enero, 2021 13:44
Natalie Silvanovich, investigadora de seguridad de Project Zero, ha reportado uno de los problemas de seguridad más graves dentro de aplicaciones de mensajería instantáneas como Signal, Facebook Messenger, Google Duo y JioChat.
Este fallo de seguridad permitía a los atacantes grabar audio y video de los smartphones de las víctimas sin que ellos estuvieran enterados de la situación.
Silvanovich revela que el problema de estas aplicaciones derivó del estándar WebRTC que utilizan la mayoría de las aplicaciones de mensajería para comunicación en tiempo real.
Dicho estándar permite que se realice la conexión entre dos dispositivos.
El agujero de seguridad no fue como tal un error en WebRTC, sino en la forma en que cada desarrollador utiliza este estándar con sus “máquinas de estado”.
Lo anterior permitió (teóricamente) que un atacante realizara una llamada dentro de las aplicaciones a otro usuario sin que este supiera que estaba recibiendo la llamada, de forma que se podía acceder al audio del usuario y grabarlo sin su conocimiento y consentimiento.
En el caso de Messenger y Google Duo, este problema también era posible explotarlo en videollamadas.
Hasta el momento no hay información que revele cuántas víctimas potenciales hubo en relación a este fallo de seguridad en todas las aplicaciones afectadas.
Una vulnerabilidad que ya fue solucionadaEl reporte de Project Zero menciona que Signal fue la primera aplicación en solucionar esta vulnerabilidad, pues realizó una actualización en septiembre de 2019 cambiando parte de su código, sin embargo, Google Duo y Messenger tardaron mucho tiempo en solucionar este problema.
La aplicación de videollamadas de Google solucionó este fallo hasta diciembre del año pasado, mientras que Facebook lo reparó un mes antes.
La investigadora revela que también analizó el estándar y su funcionamiento en aplicaciones como Telegram y Viber entre agosto y noviembre del año pasado y no encontró ningún problema de seguridad que pusiera en riesgo a los usuarios.
Otra cosa que llama la atención es que Project Zero tardó mucho tiempo en hacer públicos los resultados de este fallo de seguridad, pues el grupo tiene una política que menciona que se harán públicos los resultados de una investigación 90 días después de reportarlo a las empresas involucradas, obligando a los desarrolladores a solucionar este problema antes de esa fecha.
El equipo de seguridad que forma parte de Google ya ha revelado problemas graves antes de que otras compañías lo solucionen, como cuando revelaron cómo era posible saltarse las limitaciones de Windows 10s antes de que Microsoft pudiera publicar el parche para solucionar este problema.
La empresa tardó más de un año en revelar sus resultados, y Google fue la última compañía que solucionó el problema en su aplicación de videollamadas.
La entrada Google encontró un importante fallo de seguridad en Signal, Messenger y otras apps de mensajería se publicó primero en Unocero.
