Signal es considerada una de las mejores y más seguras aplicaciones de mensajería. Aunque en espacio de una semana se han detectado dos graves vulnerabilidades de seguridad en la misma. Por lo que han perjudicado seriamente la imagen segura que la aplicación tenía hasta el momento. ¿Qué vulnerabilidades se han detectado?
Dos vulnerabilidades graves detectadas en Signal en una semana
El primer error detectado permitía a atacantes remotos ejecutar un código malicioso en la aplicación, en concreto en el sistema de de destinatarios. Mientras que el otro permitía a atacantes obtener las conversaciones en formato de texto plano.
Vulnerabilidades en Signal
El primer fallo, que ya os hemos contado brevemente, permitía que los atacantes enviaran un mensaje sin necesidad de interacción con el usuario. Sólo con esto se podía ejecutar ya código malicioso en la aplicación. Un fallo grave, pero que desde Signal solucionaron con rapidez. Porque ofrecieron ya varias actualizaciones para paliar la vulnerabilidad.
Aunque cuanto todo parecía ir bien, surge un nuevo fallo. En este caso, el atacante puede inyectar código malicioso de forma remota en la versión de escritorio. Esta vulnerabilidad afecta a la función de validación de los mensajes. Lo que tiene que hacer es enviar un código HTML/JavaScript malicioso como mensaje y luego citar o responder ese mensaje. Así ya está, no se necesita interacción.
[irp]
Sin duda son dos problemas de gravedad que ponen de manifiesto que también Signal puede ser vulnerable. Algo que perjudica a la imagen de la aplicación. Por suerte, la empresa ha lanzado ya una actualización que soluciona estos fallos. Así que en principio parece que la situación se ha solucionado de forma satisfactoria.