Un pirata informático de 17 años que se inspiró en Edward Snowden descubrió una vulnerabilidad crítica en la aplicación Signal que permite a cualquier persona omitir la autenticación de la pantalla de bloqueo en iOS
Signal es una aplicación de comunicaciones cifrada para Android e iOS. Una versión de escritorio también está disponible para Linux, Windows y macOS.
Permite a los usuarios enviar mensajes uno a uno y grupales, que pueden incluir archivos, notas de voz, imágenes y videos, y realizar llamadas de voz y video individuales.
Esta vulnerabilidad funciona según la secuencia de clic que incluye la apertura de la aplicación, haciendo clic en cancelar y usando el botón de inicio.
La aplicación Signal iOS permite que cualquier persona eluda la contraseña y las protecciones de autenticación TouchID en iOS.
Inicialmente, el error fue reportado en la versión 2.23 de Signal por el investigador, pero el equipo de seguridad de Signal lo arregló parcialmente y lanzó la versión 2.23.1.1.
Los usuarios pueden usar los siguientes pasos para activar el error en la versión 2.23:
- Signal abierta
- Haga clic en el botón cancelar
- Haga clic en el botón de inicio
- Abrir signal de nuevo
Pero la versión 2.23.1.1 sigue siendo vulnerable a la derivación de locker de pantalla utilizando diferentes secuencias de clic.
Mientras que los usuarios pueden usar los siguientes pasos para activar el error en la versión 2.23.1.1 (la que contiene la corrección parcial):
- Signal abierta
- Haga clic en el botón cancelar
- Haga clic en el botón de inicio
- Haga doble clic en el botón de inicio
- Cerrar la aplicación de señal
- Aplicación Open Signal
- Haga clic en el botón cancelar
- Haga clic una vez el botón de inicio
- Signal abierta
Se informó del segundo error también al equipo de seguridad y la versión 2.23.2 finalmente resolvió el problema.
Además, dijo, desde el punto de vista de la protección de datos, Signal es más segura que otras aplicaciones de mensajería instantánea (por ejemplo, WhatsApp ) que, incluso utilizando el cifrado de datos de extremo a extremo como Signal, retiene metadatos muy importantes que podrían entregarse a los gobiernos en respuesta a una solicitud
Finalmente, se ha lanzado la nueva versión 2.23.2
Fecha actualización el 2021-04-12. Fecha publicación el 2018-04-12. Categoría: signal. Autor: Oscar olg Mapa del sitio Fuente: gbhackers