Global Preloader
Vulnerabilidad
(13/Apr/2018) Vulnerabilidad en Signal que permite desbloquear cualquier iPhone

Vulnerabilidad en Signal que permite desbloquear cualquier iPhone

 

Signal es una de las aplicaciones de mensajería más seguras en el mercado. Está disponible para Android y iOS. Edward Snowden es uno de los usuarios de esta aplicación. Sin embargo ahora su seguridad ha quedado en duda. Un estudiante ha encontrado una vulnerabilidad que afecta a los usuarios de iPhone con la que podría evadir la seguridad y desbloquear todos los chats en estos dispositivos.

Leonardo Porpora, un estudiante italiano que ha encontrado la manera de descifrar estos mensajes en la aplicación de Signal para iOS. Un proceso sencillo con el que los ciberdelincuentes podrían eludir el proceso de autenticación. Según Hackeread, esta vulnerabilidad afecta a todas las versiones de Signal anteriores a la 2.23.1.1. La vulnerabilidad permite eludir la protección de contraseña mediante una secuencia de acciones bastante simples.

Pasos:

  • Abrir la aplicación
  • Presionar en el botón cancelar
  • Hacer clic en el botón Home
  • Volver a abrir la aplicación


Para que esta vulnerabilidad pueda ser utilizada, el atacante tiene que tener contacto físico con el terminal. El fallo de seguridad ha sido denominado CVE-2018-9840.
El acceso protegido por contraseña a la aplicación, fue introducido por primera vez el pasado 3 de abril. Leonardo empezó a realizar pruebas al día siguiente de que introdujeran esta característica y encontró el fallo de seguridad. Se puso en contacto con Signal y la compañía publicó un parche, la versión 2.23.1.1.

Sin embargo, esta solución fue solo parcial, ya que todavía es posible acceder eludiendo la contraseña. Leonardo informó a Signal y la compañía rápidamente sacó un nuevo parche, la versión 2.23.2, y hasta ahora funciona correctamente. No es posible acceder sin contraseña a la aplicación en iOS a partir de esta versión.

La principal recomendación para evitar estos problemas es actualizar cuanto antes Signal a la última versión. Cualquier otra anterior a la 2.23.2, en iOS, sería vulnerable.