Vulnerabilidades en apps de mensajería permitían espiar a los usuarios
- Vulnerabilidades
Los fallos detectados en las aplicaciones Signal, Google Duo, Facebook Messenger, JioChat y Mocha dejaban a los atacantes escuchar los entornos de los usuarios sin permiso antes de que el interlocutor respondiera a las llamadas. La vulnerabilidades ya han sido corregidas.
|
Recomendados: Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar |
Natalie Silvanovich, investigadora de seguridad de Google Project Zero, ha descubierto una serie de vulnerabilidades en múltiples aplicaciones móviles de mensajería que permitían a los atacantes espiar a los usuarios sin permiso. Los fallos localizados en las apps Signal, Google Duo, Facebook Messenger, JioChat y Mocha, están corregidos. Sin embargo, antes de ser solucionados, hicieron posible forzar a los dispositivos a transmitir audio a los dispositivos de los atacantes sin la necesidad de obtener la ejecución de código.
Como Silvanovich reveló, un error de Signal hizo posible conectar la llamada de audio enviando el mensaje de conexión desde los dispositivos de llamada al destinatario en lugar de al revés, sin la interacción del usuario. El fallo de Google Duo, que permitía a los destinatarios filtrar paquetes de vídeo de llamadas sin respuesta a la persona que llama, se solucionó en diciembre de 2020, mientras que el defecto de Facebook Messenger, que permitía que las llamadas de audio se conectaran antes de que se respondiera a la llamada, se corrigió en noviembre de 2020.
Dos vulnerabilidades similares fueron descubiertas en las apps JioChat y Mocha en julio de 2020, errores que permitieron enviar audio de JioChat y enviar audio y video de Mocha después de la explotación, sin el consentimiento del usuario. Ambos fueron corregidos al poco tiempo.
"La mayoría de las apps que investigué tenían vulnerabilidades lógicas que permitían transmitir contenido de audio o video desde el destinatario al autor de la llamada sin el consentimiento del destinatario", agrega Silvanovich. “Todas las vulnerabilidades reportadas se encontraron en llamadas punto a punto. Este es un área que podría revelar problemas en el futuro".
Silvanovich también buscó errores similares en otras aplicaciones de videoconferencia, incluyendo Telegram y Viber, pero no encontró tales problemas. Lo que sí encontró es una vulnerabilidad crítica en la aplicación de mensajería WhatsApp, que podría haber sido activada simplemente cuando un usuario responde a una llamada, bloqueando o comprometiendo completamente la aplicación.
