Una nueva vulnerabilidad encontrada en software de mensajería como Messenger, Google Duo y Signal permitía grabar a los usuarios.
Un equipo de investigadores de Google ha revelado una vulnerabilidad en algunas de las aplicaciones de mensajería instantánea más utilizadas, como Messenger y Signal.
Este es el descubrimiento de un investigador del Project Zero, el proyecto de Google que reúne a expertos en seguridad para encontrar problemas y fallos en programas e Internet. Por ejemplo, los miembros del Proyecto Cero descubrieron la mayor vulnerabilidad de procesador de la historia.
Los fallos descubiertos por la investigadora Natalie Silvanovich en siete aplicaciones de mensajería instantánea podrían haber sido aún más peligrosos, ya que permitían a los atacantes grabar audios y vídeos utilizando el dispositivo de la víctima, sin que ésta tuviera que hacer nada y sin su consentimiento.
Google descubrió graves errores en las aplicaciones de mensajería
La investigación comenzó, cuando en enero pasado de 2019 se reveló que un error en el iPhone nos permitía escuchar y ver a la persona a la que estábamos llamando, antes de que atendiera la llamada.
Según Silvanovich, una vulnerabilidad tan grave y al mismo tiempo fácil de usar, que se produjo debido a un error lógico, le hizo pensar si podría encontrar algo similar en otras plataformas.
Y de hecho, después de revisar algunas de las aplicaciones de mensajería de la industria que permiten llamadas y videollamadas, descubrió que muchas tenían errores similares. Esto se debe a que la mayoría de las aplicaciones de mensajería utilizan WebRTC, un estándar de comunicación en tiempo real que permite la conexión entre dos entidades.
Como resultado, estas aplicaciones tenían varios agujeros de seguridad, lo que permitía a un atacante realizar la conexión antes de que el usuario que la recibía tuviera que aceptarla; como resultado, podría grabar audio e incluso video directamente desde el teléfono inteligente, además de afectar su funcionamiento.
La señal también se ve afectada por la vulnerabilidad.
Una de las apps en la lista de afectadas es Signal, que últimamente ha experimentado un crecimiento espectacular gracias precisamente a su presentación como una alternativa más segura a WhatsApp o Telegram. En su caso, la vulnerabilidad permitió a un atacante escuchar directamente a través del micrófono del dispositivo, ya que la aplicación no comprobaba quién estaba realizando la llamada. Este problema se solucionó gracias a una actualización publicada en septiembre de 2019; Además, Signal ya no utiliza WebRTC para realizar conexiones.
Por el contrario, otras aplicaciones han tardado un poco más en corregir sus errores; Irónicamente, Google Duo ha sido el último y solucionó en diciembre de 2020 un problema que filtraba paquetes de datos de video de llamadas no respondidas.
Facebook Messenger es otra aplicación popular afectada, que solucionó el problema en noviembre de 2020; en su caso, el atacante podría iniciar una llamada y al mismo tiempo enviar un mensaje al objetivo, haciendo que la aplicación comience a enviar sonido al atacante sin mostrar la llamada en pantalla.
Dice mucho de la gravedad del problema que Project Zero haya decidido no hacer públicos estos problemas hasta ahora. Google inició el proyecto con una política muy controvertida, la de publicar las vulnerabilidades descubiertas en un plazo de 90 días, independientemente de si habían sido solucionadas; por ejemplo, cuando publicó cómo saltarse las limitaciones de Windows 10S antes de que Microsoft pudiera publicar el parche.
Sin embargo, este caso parece haber sido lo suficientemente grave como para que Google haya esperado hasta que todas las aplicaciones (incluida la suya) hayan sido parcheadas.
