Hackers argentinos revelan una falla "grave" en una de las apps del momento
Domingo 13 de
Mayo 2018
Es el chat considerado hasta ahora como uno de los más seguros del mundo.
Tres especialistas argentinos en seguridad informática alertaron sobre una vulnerabilidad "con implicancias graves" en la aplicación de mensajería Signal que permitía, entre otras cosas, tomar el control del dispositivo atacado, acceder a sus archivos y contagiarse automáticamente a otros dispositivos de la lista de contactos.
Signal es una aplicación de mensajería lanzada en 2016 y se popularizó, entre profesionales de las tecnología y las comunicaciones, por ser considerada más segura que algunas de sus competidoras cómo WhatsApp.
En 2017, la influyente revista Wired llamaba a usarla más que WhatsApp, Messenger o Telegram. "Tiene una encriptación fuerte, es gratuita, funciona en toda plataforma móvil, y sus programadores se comprometieron a mantenerse simple y veloz, sin molestar al usuario con publicidades, monitoreos, stickers o emojis fecales animados", destacaba la revista.
Hasta Edward Snowden, el ex "topo" de la Agencia Nacional de Seguridad de Estados Unidos, ha recomendado usar Signal como sistema de mensajería móvil.
Pero el viernes, durante un chateo, Alfredo Ortega, Ivan Barrera Oro y Juliano Rizzo, tres "hackers" argentinos, encontraron una falla potencialmente grave.
Estos tipo de aplicaciones permiten enviar mensajes y otros tipo de archivos pero lo que se descubrió casi accidentalmente era que Signal permitía enviar "casi cualquier tipo de códigos de programación" y, gracias a ello, un atacante podía tomar el control del dispositivo de destino del mensaje.
"Es un ataque sencillo que los de Signal se apuraron a arreglar. No sólo permitía apropiarte de toda la aplicación, podías robar, por ejemplo, claves privadas.
Al principio pensábamos que era de bajo alcance, pero es terrible porque se podía hacer que fuera un 'gusano' que reenvíe el código a toda red sin que el usuario hiciera nada", comentó Ortega en diálogo con Télam.
Según descubrieron los investigadores, un atacante podía enviar dentro de un mensaje de Signal un código en javascript (un idioma de programación) a un destinatario y ese sólo hecho le permitía no sólo acceder a datos y archivos almacenados sino que, además, se podía transmitir automáticamente a sus contactos, infectándolos de la misma manera.
"Se ejecuta sin que el chat esté abierto, aunque Signal esté en modo background" en el dispositivo de destino, explicó Ortega.
En ese mismo sentido, afirmó que probablemente el lunes próximo publiquen su investigación con las implicancias de la vulnerabilidad ya que si bien Signal puso un parche, tratarán de constatar que se hayan subsanado todas las deficiencias de seguridad.
"El problema es que Signal se publicitó como una app de mensajería más segura que las demás, por lo que es posible que se haya compartido material muy sensible y que estuviera expuesto a ataques", concluyó Ortega.
Signal es una aplicación de mensajería lanzada en 2016 y se popularizó, entre profesionales de las tecnología y las comunicaciones, por ser considerada más segura que algunas de sus competidoras cómo WhatsApp.
En 2017, la influyente revista Wired llamaba a usarla más que WhatsApp, Messenger o Telegram. "Tiene una encriptación fuerte, es gratuita, funciona en toda plataforma móvil, y sus programadores se comprometieron a mantenerse simple y veloz, sin molestar al usuario con publicidades, monitoreos, stickers o emojis fecales animados", destacaba la revista.
Hasta Edward Snowden, el ex "topo" de la Agencia Nacional de Seguridad de Estados Unidos, ha recomendado usar Signal como sistema de mensajería móvil.
Pero el viernes, durante un chateo, Alfredo Ortega, Ivan Barrera Oro y Juliano Rizzo, tres "hackers" argentinos, encontraron una falla potencialmente grave.
My favorite Argentine hacker @ortegaalfredo aka “el cyber gaucho” found a way to remotely hack the Signal desktop app. https://t.co/890XI6qIlH
— Nicole Perlroth (@nicoleperlroth) 11 de mayo de 2018
Estos tipo de aplicaciones permiten enviar mensajes y otros tipo de archivos pero lo que se descubrió casi accidentalmente era que Signal permitía enviar "casi cualquier tipo de códigos de programación" y, gracias a ello, un atacante podía tomar el control del dispositivo de destino del mensaje.
"Es un ataque sencillo que los de Signal se apuraron a arreglar. No sólo permitía apropiarte de toda la aplicación, podías robar, por ejemplo, claves privadas.
Al principio pensábamos que era de bajo alcance, pero es terrible porque se podía hacer que fuera un 'gusano' que reenvíe el código a toda red sin que el usuario hiciera nada", comentó Ortega en diálogo con Télam.
Según descubrieron los investigadores, un atacante podía enviar dentro de un mensaje de Signal un código en javascript (un idioma de programación) a un destinatario y ese sólo hecho le permitía no sólo acceder a datos y archivos almacenados sino que, además, se podía transmitir automáticamente a sus contactos, infectándolos de la misma manera.
We have updated our Signal vulnerability article to add more info the researcher @ortegaalfredo shared with @Thehackersnews.https://t.co/F79yCLenuo
>> Executing code on recipient's device requires chaining a couple of vulnerabilities found by @HacKanCuBa and @julianor.
— The Hacker News (@TheHackersNews) 12 de mayo de 2018
"Se ejecuta sin que el chat esté abierto, aunque Signal esté en modo background" en el dispositivo de destino, explicó Ortega.
En ese mismo sentido, afirmó que probablemente el lunes próximo publiquen su investigación con las implicancias de la vulnerabilidad ya que si bien Signal puso un parche, tratarán de constatar que se hayan subsanado todas las deficiencias de seguridad.
"El problema es que Signal se publicitó como una app de mensajería más segura que las demás, por lo que es posible que se haya compartido material muy sensible y que estuviera expuesto a ataques", concluyó Ortega.
Con información de
clarin
YPF confirmó un nuevo aumento en los combustibles: de cuánto es y qué pasará con el congelamiento
El anuncio lo realizó Horacio Marín. Además, la suba rige a partir de este jueves.
Sorpresa: una encuesta midió a Victoria Villarruel como variante del PRO y el PJ para 2027
Lo hizo DC Consultores en su último estudio nacional. Es una firma que suele darle buenos números al Gobierno. Además, ranking de imágenes con 9 dirigentes y outsiders.
Hoy se conocerá la inflación de abril: el Gobierno anticipó una baja fuerte y busca consolidar la desaceleración
Las proyecciones privadas y del ministro de Economía, Luis Caputo, coinciden en que el Índice de Precios al Consumidor (IPC) mostrará una disminución respecto a marzo. Cómo viene mayo y las medidas con los servicios públicos
Suscribite!
Y recibí las noticias más importantes!
Y recibí las noticias más importantes!
Nota22.com
Crecen las críticas a la gestión del Intendente de Santa Fe, Juan Pablo Poletti
LO MÁS VISTO
La Justicia falló en contra de Asoem
El Juzgado de 1ra. Instancia en lo Civil y Comercial de la Octava Nominación falló a favor de la Municipalidad de Sauce Viejo en medio del conflicto que mantiene con la Asociación de Obreros y Empleados Municipales.
¿Que es el Bullying?
Lo anticipó el ministro Mario Lugones en una jornada sobre salud en la que se alertó sobre la creciente judicialización del sistema. El objetivo del Gobierno es que cualquier médico no pueda recetar cualquier tipo de medicamento y ajustan detalles de la norma.
El exministro de Economía le respondió al Presidente a través de una publicación en su blog personal; "Me limité a repetir lo que él mismo había dicho", manifestó
