NoticiasSeguridad informática

Dos vulnerabilidades graves detectadas en Signal en una semana

Signal es considerada una de las mejores y más seguras aplicaciones de mensajería. Aunque en espacio de una semana se han detectado dos graves vulnerabilidades de seguridad en la misma. Por lo que han perjudicado seriamente la imagen segura que la aplicación tenía hasta el momento. ¿Qué vulnerabilidades se han detectado?

Dos vulnerabilidades graves detectadas en Signal en una semana

El primer error detectado permitía a atacantes remotos ejecutar un código malicioso en la aplicación, en concreto en el sistema de de destinatarios. Mientras que el otro permitía a atacantes obtener las conversaciones en formato de texto plano.

Vulnerabilidades en Signal

El primer fallo, que ya os hemos contado brevemente, permitía que los atacantes enviaran un mensaje sin necesidad de interacción con el usuario. Sólo con esto se podía ejecutar ya código malicioso en la aplicación. Un fallo grave, pero que desde Signal solucionaron con rapidez. Porque ofrecieron ya varias actualizaciones para paliar la vulnerabilidad.

Aunque cuanto todo parecía ir bien, surge un nuevo fallo. En este caso, el atacante puede inyectar código malicioso de forma remota en la versión de escritorio. Esta vulnerabilidad afecta a la función de validación de los mensajes. Lo que tiene que hacer es enviar un código HTML/JavaScript malicioso como mensaje y luego citar o responder ese mensaje. Así ya está, no se necesita interacción.

[irp]

Sin duda son dos problemas de gravedad que ponen de manifiesto que también Signal puede ser vulnerable. Algo que perjudica a la imagen de la aplicación. Por suerte, la empresa ha lanzado ya una actualización que soluciona estos fallos. Así que en principio parece que la situación se ha solucionado de forma satisfactoria.

Fuente
The Hacker News

Eder Ferreño

Bilbaíno graduado en Marketing. Amante de los viajes, el cine y la lectura.
Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar Política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en info@profesionalreview.com
Botón volver arriba