- Una hacker de Google revela que varias vulnerabilidades en apps como Signal, Google Duo o Facebook Messenger podían ayudar a ciberdelincuentes a espiar a sus objetivos.
- La premisa es sencilla: explotando el error, cualquiera podía oír lo que captara el micrófono de un móvil al que se llamara, aunque el usuario no aceptara la llamada.
- Google Duo, por ejemplo, eran susceptibles de filtrar paquetes de videos durante llamadas no descolgadas.
Imagina llamar a un amigo y poder escuchar todo lo que dice antes de contestar el teléfono. Técnicamente fue posible espiar a los usuarios de aplicaciones como Signal, Google Duo, Facebook Messenger, JioChat o Mocha, según reveló una hacker del Project Zero de Google; un equipo de ciberseguridad de la compañía estadounidense.
El error se arregló hace meses, pero se podía explotar gracias a varias vulnerabilidades descubiertas en esas apps de videollamadas. Llama especialmente la atención la presencia de Signal en el listado; teniendo en cuenta de que su popularidad está en auge por sus promesas de privacidad.
Antes de arreglar las vulnerabilidades, el error permitía llamar a un contacto y oír todo lo que registraba el micrófono de su dispositivo sin que él contestara o interactuara con la aplicación.
Espiar a los usuarios fue solo uno de los errores en esas apps
La hacker que reveló estas vulnerabilidades es Natalie Silvanovich. Ella explica que detectó al menos cinco vulnerabilidades en siete aplicaciones que permitían explotar este error.
En Signal, por ejemplo, estas vulnerabilidades se repararon con un parche en septiembre de 2019. Se podía captar el audio del teléfono receptor enviando simplemente un mensaje de conexión desde el dispositivo que llamaba. Pero las conexiones se hacen justo al revés: es el aparato llamado el que envía un mensaje para confirmar esa conexión.
Las llamadas a Google Duo, por ejemplo, eran susceptibles de filtrar paquetes de videos durante llamadas no descolgadas. Este problema se subsanó más tarde, en diciembre de 2020.
Con Facebook Messenger ocurría algo similar, pero con paquetes de audio; y se subsanó en noviembre también del año pasado. JioChat y Mocha repararon sus vulnerabilidades entre julio y agosto de 2020.
Los usuarios no encontrarán herramientas sin errores en internet
Silvanovich también detectó una vulnerabilidad en WhatsApp que puede explotarse consiguiendo que un usuario descuelgue la llamada, y que abre la puerta a comprometer la app. La hacker advierte que es preocupante que todas las vulnerabilidades detectadas fueron encontradas en llamadas P2P, «por lo que futuras investigaciones podrían revelar más problemas en este campo».
El caso de Signal es paradójico. WhatsApp anunció a principios de año unos cambios en las políticas de privacidad que no afectarían a la Unión Europea. Pero inquietó a muchos de sus usuarios: según las cláusulas actualizadas, se abría la puerta a que la app comparta datos e información de sus usuarios con su matriz, Facebook.
Fruto de esa noticia, apps como Signal y Telegram han registrado un notable aumento de su comunidad de usuarios. Signal, por su parte, se proclama como una de las apps más seguras para la privacidad de sus usuarios. Tiene razones para ello: detrás hay una fundación que se financia con donaciones, no una gran empresa. Además, trabaja con el principio de conocer solo lo indispensable de sus usuarios.
Sin embargo, estas vulnerabilidades detectadas —y con las que Signal actuó mucho más rápido que sus competidoras—; sirven para recordar que en internet no hay ninguna herramienta 100% segura.
