Varias de las apps de mensajería instantánea más usadas en España, incluyendo la alternativa a WhatsApp, Signal, sufrieron de un agujero de seguridad que permitía el espionaje de usuarios sin que se diesen cuenta.

Es el descubrimiento de una investigadora de Project Zero, el proyecto de Google que reúne a expertos de seguridad para encontrar problemas y bugs en programas e Internet. Por ejemplo, miembros de Project Zero descubrieron la mayor vulnerabilidad de procesadores de la historia.

Los bugs descubiertos por la investigadora Natalie Silvanovich en siete aplicaciones de mensajería instantánea podrían haber sido incluso más peligrosos, al permitir a los atacantes grabar audios y vídeos usando el dispositivo de la víctima, sin que esta tuviese que hacer nada, y sin necesidad de su consentimiento.

Google descubre serios bugs

La investigación empezó, curiosamente, con el fin de otra investigación; cuando el pasado enero de 2019 se reveló que un bug del iPhone permitía escuchar y ver a la persona que estábamos llamando, antes de que cogiese la llamada. Según Silvanovich, el hecho de que una vulnerabilidad tan grave, y al mismo tiempo fácil de usar, ocurriese por culpa de un bug lógico, le hizo pensar en si podía encontrar algo parecido en otras plataformas.

Y en efecto, después de repasar algunas de las apps de mensajería del sector que permiten llamadas y videollamadas, descubrió que muchas tenían errores semejantes. Eso es porque la mayoría de apps de mensajería usan WebRTC, un estándar de comunicación en tiempo real que permite la conexión entre dos entidades.

Como resultado, estas apps tenían varios agujeros de seguridad, que permitían que un atacante realizase la conexión antes siquiera de que el usuario que la recibía la tuviese que aceptar; como resultado, podía grabar audio e incluso vídeo directamente del smartphone, además de afectar a su funcionamiento.

Signal afectada

Una de las apps que aparecen en la lista de afectadas es Signal, que recientemente ha disfrutado de un crecimiento espectacular gracias precisamente a presentarse como una alternativa más segura a WhatsApp o a Telegram. En su caso, la vulnerabilidad permitía que un atacante escuchase directamente a través del micrófono del dispositivo, ya que la app no comprobaba quién hacía la llamada. Este problema fue solucionado gracias a una actualización publicada en septiembre de 2019; además, Signal ya no usa WebRTC para realizar las conexiones.

En cambio, otras apps han tardado un poco más en solucionar sus bugs; irónicamente, Google Duo ha sido la más tardía, arreglando en diciembre de 2020 un problema que filtraba paquetes de datos de vídeo de llamadas no respondidas.

Facebook Messenger es otra app muy popular afectada, que solucionó el problema en noviembre de 2020; en su caso, el atacante podía iniciar una llamada y al mismo tiempo, enviar un mensaje al objetivo, lo que provocaba que la app empezase a enviar sonido al atacante sin mostrar la llamada en pantalla.

Dice mucho de la gravedad del asunto que Project Zero haya decidido no hacer públicos estos problemas hasta ahora. Google inició el proyecto con una política muy polémica, de publicar las vulnerabilidades descubiertas en un plazo de 90 días, sin importar si habían sido solucionadas; por ejemplo, cuando publicó cómo saltarse las limitaciones de Windows 10S antes de que Microsoft pudiese publicar el parche.

Sin embargo, este caso parece haber sido lo suficientemente grave como para que Google haya esperado a que todas las apps (incluida la suya) hayan tapado el agujero.

También te puede interesar...

• Google encuentra cómo saltarse las limitaciones de Windows 10 S
  
  
  
  
• Los iPhone llevan años siendo hackeados por páginas web, según Google
  
  
  
  
• El peor agujero de seguridad del iPhone: permitía controlar el móvil a distancia