La investigadora de seguridad de Project Zero, Natalie Silvanovich, ha reportado uno de los problemas de seguridad más importantes dentro de aplicaciones de mensajería instantáneas como Signal, Facebook Messenger, Google Duo y JioChat. Esto ocurrió después de hallar un problema similar en el iPhone.
Project Zero declaró que el problema de estas aplicaciones ocurrió debido al estándar WebRTC que utilizan la mayoría de aplicaciones de mensajería instantanea(comunicación en tiempo real).
El estándar WebRTC permite una conexión entre dos dispositivos sin que se muestre aviso alguno. Debido a este fallo los atacantes tenían la libertad grabar audio y video de los smartphones de los usuarios sin que ellos estuvieran enterados de la situación.
Cabe aclarar que el error de seguridad no fue como tal un error en WebRTC, sino en la forma en que cada desarrollador utiliza este estándar con sus “máquinas de estado”. Por lo tanto, los atacantes podían operar realizando una llamada a cualquiera de estas aplicaciones que automáticamente se contestaba sin que el usuario supiera y esto permitía la grabación de audio y/o video del dispositivo sin autorización alguna.
Hasta el momento no hay información que revele cuántas víctimas potenciales hubo en relación a este fallo de seguridad en todas las aplicaciones afectadas. Pero Project Zero reportó que en el caso de Messenger y Google Duo, este problema era posible explotarlo en videollamadas.
¿Qué aplicaciones solucionaron el problema y cuáles están a salvo? Aquí te mostramos las más utilizadas:
- Signal. Project Zero anunció que Signal fue la primera aplicación que solucionó esta vulnerabilidad, llevando a cabo una actualización en septiembre de 2019. Se realizó al cambiar parte de su código.
- Google. La aplicación de videollamadas de Google solucionó este fallo hasta diciembre del año pasado.
- Facebook. La aplicación de videollamadas de Facebook lo reparó un mes antes que Google, en noviembre.
- Por otro lado, Google Duo y Messenger tardaron mucho tiempo en solucionar este problema.
Natalie Silvanovich, declaró que también realizó un análisis el estándar y su funcionamiento en aplicaciones como Telegram y Viber entre agosto y noviembre del año pasado para descartar fallas y no encontró ningún problema de seguridad que pusiera en riesgo a los usuarios.
Project Zero tardó mucho tiempo en hacer públicos los resultados de este fallo de seguridad, ¿Por qué?
Dicho grupo tiene una política que menciona que se harán públicos los resultados de una investigación 90 días después de reportarlo a las empresas involucradas, obligando a las mismas a solucionar este problema antes de esa fecha para no pierdan a usiarios que requieren sus servicios pues, antes de que se enteren, ya estarían resueltos dichos errores.
Anteriormente el equipo de seguridad que forma parte de Google ha revelado problemas graves antes de que otras compañías lo solucionen.
Es el caso de el la posibilidad de saltarse las limitaciones de Windows 10s. Google lo reveló antes de que Microsoft pudiera publicar el parche para solucionar este problema. Esta tardó más de un año en revelar sus resultados, y Google fue la última compañía que solucionó el problema en su aplicación de videollamadas.