Aplicativo Signal corrige falha que atendia chamadas sem autorização do usuário

Views:
2

Aplicativo foi atualizado para corrigir um erro de lógica no processamento de chamadas. Aplicativo Signal, focado em segurança e privacidade, corrigiu brecha no mesmo dia em que o problema foi relatado.
Reprodução
O Signal, um aplicativo de mensagens focado em segurança, foi atualizado para corrigir uma vulnerabilidade que permitia iniciar uma chamada automaticamente com outra pessoa.
Por meio da brecha, um invasor poderia iniciar chamadas para captar o som ambiente da vítima, gravando conversas, reuniões e qualquer outro ruído.
A falha foi descoberta pela pesquisadora de segurança Natalie Silvanovich. Ela trabalha no Projeto Zero do Google, uma equipe especializada em caçar brechas em qualquer produto ou aplicativo popular, mesmo que não tenha relação com o Google.
O problema foi corrigido na versão 4.47.7 do Signal, lançada no mesmo dia que o problema foi relatado por Silvanovich. Quem já instalou essa versão ou outra mais recente está imune a ataques baseados nessa falha.
Na prática, o problema existia apenas na versão do Signal para Android. Embora o aplicativo no iOS (do iPhone) também tenha o código vulnerável, certas diferenças na interface do aplicativo acabavam impedindo o erro de ser explorado por um invasor.
No entanto, a brecha é muito semelhante a um problema que foi corrigido pela Apple em janeiro no FaceTime, o aplicativo exclusivo do iPhone para chamadas de voz e vídeo.
Celular como ‘escuta’
Segundo Silvanovich, um erro de lógica presente no Signal pode permitir que um invasor force uma chamada não atendida a ser iniciada sem autorização do destinatário do telefonema.
A chamada não seria atendida de imediato. Porém, caso a vítima não percebesse o telefone chamando ou vibrando — o que pode acontecer com o aparelho no silencioso, por exemplo —, a gravação do áudio remoto poderia ocorrer sem alertar o destinatário da chamada.
Com isso, o celular da vítima virava um “aparelho de escuta” ativado pelo invasor.
A exploração da falha não é difícil. O hacker precisa apenas modificar a sua própria versão do Signal para enviar um comando de “chamada conectada” mesmo antes de a chamada ser atendida pelo destinatário. Como o Signal é um programa de código aberto, não é difícil modificar o software para realizar essa função.
WhatsApp adaptou tecnologia do Signal
O Signal é mantido pela Open Whisper Systems e seu principal foco é a segurança das comunicações. Embora não seja tão conhecido quanto o WhatsApp ou o Telegram, as tecnologias criptográficas do Signal foram adaptadas pelo Facebook e integradas ao WhatsApp.
Todos os usuários do WhatsApp, portanto, usam indiretamente uma parte da tecnologia de privacidade desenvolvida para o Signal. No entanto, diferente do WhatsApp, o Signal deixa de lado certos recursos para diminuir a possibilidade de falhas e manter seu foco em segurança.
Como se trata de um aplicativo focado em segurança, o Signal é bastante utilizado por pessoas que precisam garantir a privacidade de suas comunicações.
Falhas em aplicativos usados por esse grupo de pessoas são sempre preocupantes, pois expõem aqueles que mais se preocupam com a sua segurança.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Selo Altieres Rohr
Ilustração: G1

Curta ou Compartilhe esse anúncio
0

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *