Signal es una aplicación de comunicación que se enorgullece de ofrecer mensajes cifrados, pero no proporciona la misma protección al realizar una actualización de su extensión de Chrome a la versión de escritorio, ya que exporta los mensajes de un usuario como archivos de texto sin cifrar.
Al actualizar de la extensión de Signal Chrome a Signal Desktop, el proceso requiere que el usuario elija una ubicación para guardar los datos del mensaje (texto y archivos adjuntos), para importarlos automáticamente en la nueva versión.
Después de esta etapa, el hacker e investigador de seguridad Matt Suiche notó que la aplicación descargó la información en una ubicación de su elección sin encriptarla primero. Anunció su descubrimiento en Twitter y también presentó un informe de error.
"Insano. Totalmente demente", escribió en su Twitter, agregando una captura de pantalla que muestra los datos de texto sin formato que envía Signal durante el proceso de actualización.
El directorio principal contiene carpetas individuales para cada contacto de Signal disponible. Las carpetas se nombran después del nombre del contacto y su número de teléfono; por lo tanto, simplemente abriendo el directorio principal muestra detalles confidenciales. Las conversaciones se almacenan en archivos JSON dentro de cada carpeta.
Suiche encontró el problema en macOS cuando recibió una notificación para actualizar la extensión de Signal para Chrome. En las pruebas que hizo BleepingComputer en Linux Mint con varias cuentas de prueba, observamos el mismo comportamiento
Durante las pruebas, no vimos ninguna advertencia sobre los datos que se almacenan en un formato sin cifrar. Además, la información persiste en el disco incluso después de que se complete la actualización y la nueva Señal la importe. Los usuarios deben eliminar las carpetas manualmente para reducir el riesgo de perder sus conversaciones privadas.
La extensión de signal para Chrome es obsoleta
Signal ha estado disponible para teléfonos móviles desde el principio, pero la conveniencia también requería una versión de escritorio, que llegó en forma de una extensión de Chrome.
Esto significaba que Signal Desktop ofrecía sus servicios de comunicaciones cifrados solo cuando Google Chrome se estaba ejecutando. Desde finales de octubre de 2017, una nueva variante independiente de la aplicación se deshace de los grilletes Chrome. También marcó el principio del fin de la aplicación Chrome, que está programada para caducar en menos de un mes.
Para preservar los hilos de conversación y los medios que se han intercambiado de forma segura a través del canal de comunicación de Signal, los datos en la aplicación Chrome se extraen a una carpeta local y luego se importan automáticamente en la variante independiente.
No es el único problema con Signal Desktop
Sin embargo, descartar una versión a favor de otra no es razón para dejar descifrados en los mensajes informáticos que la aplicación cifra tanto en tránsito como en reposo. En una conversación con BleepingComputer, Suiche dijo que Signal no debería realizar un proceso de actualización de esta manera ya que expone a toda la base de usuarios de la aplicación Chrome.
De acuerdo con Keith McCammon, cofundador y director de seguridad de Red Canary, Signal Desktop también es malo en la eliminación de medios adjuntos a mensajes que desaparecen, una función que elimina mensajes de los dispositivos involucrados en una conversación después de un período específico de tiempo.
McCammon dice que al mirar a través del sistema de archivos uno seguramente encontrará archivos de medios que deberían haberse eliminado.
Fecha actualización el 2021-10-23. Fecha publicación el 2018-10-23. Categoría: seguridad Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer