Una vulnerabilidad en Signal permitía que un atacante respondiese a una llamada sin tu permiso

Signal, una aplicación de mensajería segura, se ha visto actualizada a la versión 4.47.7, la cual parchea una vulnerabilidad que permitía a un tercero responder a las llamadas que el dispositivo recibía sin que el usuario del terminal lo supiese siquiera, dando pie a un ataque de suplantación de identidad mediante esta vía.

Esta vulnerabilidad fue descubierta el día 27 de septiembre por el Google Project Zero y ha sido recientemente parcheada para lanzar la nueva actualización a los usuarios de Android. Asimismo, según los detalles del equipo de Google, parece ser que esta vulnerabilidad era similar a la que afectó meses atrás a FaceTime, la cual permitía a un tercero ver la feed de video de la otra persona sin que ésta hubiese siquiera aceptado la llamada.

El problema se basa en un problema relacionado con un método denominado “handle CallConected”, el cual permite que una llamada termine de “conectar”, algo que se hace cuando se acepta una llamada y desde el dispositivo destinatario se le indica al remitente que se ha aceptado la llamada.

Si bien la aplicación de Android es la que se ha actualizado dado que este problema se podía explotar a través de la interfaz de la aplicación, se trata de un problema de lógica del programa que también se encuentra presente en la aplicación de iOS, de forma que es de esperar que el equipo de Signal haya parcheado la aplicación de Android como solución temporal en lo que encuentran una solución definitiva en el código interno de ambas aplicaciones.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!