Un experto en seguridad ha detectado una vulnerabilidad en la aplicación de mensajería cifrada Signal, que ha sido catalogada como una de las más seguras del mundo gracias a su cifrado de extremo a extremo.
Fue David Wells, de la empresa especializada Tenable, quien dejó al descubierto una manera en que piratas informáticos podrían llegar a exponer el servidor de sistemas de nombres de dominio (DNS) de un usuario.
A través del sitio Medium, reveló que cualquier persona al recibir un llamado en Signal podría sufrir la revelación del código privado de acceso, que la aplicación estaría entregando por error.
Gracias a este código, un ciberdelincuente podría saber la ubicación temporal de un usuario, además de seguir los movimientos de la persona en el caso que utilice Signal de forma constante.
Apenas se hizo pública la información, los desarrolladores del programa anunciaron que repararían a la brevedad la falla. Sin embargo, al cierre de esta nota todavía no se había lanzado un parche de seguridad que la corrigiera.
La empresa señaló que una de las medidas principales que tomaría para evitar que usuarios sufrieran el robo de datos sería el no enviar direcciones IP tanto públicas como privadas, en el caso que una persona reciba una llamada en el programa.
También anunció que añadiría la posibilidad de que cada usuario pudiera elegir ocultar sus direcciones IP, incluso si recibe llamadas de contactos cercanos. Para realizar esta tarea, se agregaría la opción llamada «retransmitir siempre», que sería integrada a las opciones de privacidad dentro de la aplicación.
En el caso de Android, las versiones afectadas son Signal v4.59.0 y posteriores, mientras que para iOS aún no se tiene claridad de qué ediciones están sufriendo la falla de seguridad. Wells planteó que las ediciones 3.8.1.5 y posteriores en iOS podrían estar siendo perjudicadas.
