Error de Signal Messenger

  • 0 Respuestas
  • 226 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1417
  • Actividad:
    100%
  • Country: gt
  • Reputación 17
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil

Error de Signal Messenger

  • en: Octubre 05, 2019, 12:12:09 am


Error de Signal Messenger permite a las personas que llaman conectar automáticamente las llamadas sin la interacción de los receptores

Casi todas las aplicaciones contienen vulnerabilidades de seguridad, algunas de las cuales puede encontrar hoy en día, pero otras permanecerían invisibles hasta que otra persona las encuentre y explote, lo cual es la dura realidad de la ciberseguridad y su estado actual.

Y cuando decimos esto, Signal Private Messenger, promovido como uno de los mensajeros más seguros del mundo, no es una excepción.
La investigadora de Google Project Zero, Natalie Silvanovich, descubrió una vulnerabilidad lógica en la aplicación de mensajería Signal para Android que podría permitir que la persona que llama maliciosa obligue a responder una llamada al final del receptor sin requerir su interacción.

En otras palabras, la falla podría explotarse para encender el micrófono del dispositivo de un usuario de Signal específico y escuchar todas las conversaciones circundantes.

Sin embargo, la vulnerabilidad de Signal solo puede explotarse si el receptor no responde una llamada de audio a través de Signal, lo que finalmente obliga a que la llamada entrante sea respondida automáticamente en el dispositivo del receptor.

"En el cliente de Android, hay un método handleCallConnected que hace que la llamada termine de conectarse. Durante el uso normal, se llama en dos situaciones: cuando el dispositivo llamado acepta la llamada cuando el usuario selecciona 'aceptar' y cuando el dispositivo llamante recibe un mensaje entrante de "conexión" que indica que la persona que llama ha aceptado la llamada ", explica Silvanovich en el blog de Chromium .

"Al usar un cliente modificado, es posible enviar el mensaje" conectar "a un dispositivo llamado cuando una llamada entrante está en curso pero aún no ha sido aceptada por el usuario. Esto hace que la llamada sea respondida, aunque el usuario haya respondido no interactuó con el dispositivo ".

Cabe señalar que "la llamada conectada solo será una llamada de audio, ya que el usuario debe habilitar manualmente el video en todas las llamadas".

Silvanovich también mencionó que "Signal tiene esta gran superficie de ataque remoto debido a limitaciones en WebRTC", y la falla de diseño también afecta la versión de iOS de la aplicación de mensajería, pero no puede ser explotada porque "la llamada no se completó debido a un error en la IU causada por la secuencia inesperada de estados ".

Silvanovich informó esta vulnerabilidad al equipo de seguridad de Signal el mes pasado.

La compañía reconoció el problema y lanzó un parche hoy con el lanzamiento de la versión v4.48.13 de Signal en GitHub , que aún no estará disponible en Google Play Store.


Vía: https://thehackernews.com
« Última modificación: Octubre 05, 2019, 12:26:42 am por Dragora »

 

Google envió por error vídeos privados de Google Fotos a personas ajenas a ellos

Iniciado por Dragora

Respuestas: 0
Vistas: 252
Último mensaje Febrero 04, 2020, 01:02:16 pm
por Dragora
Error de actualización de Windows 10 KB4532693 "elimina" archivos de usuarios

Iniciado por Dragora

Respuestas: 0
Vistas: 912
Último mensaje Febrero 20, 2020, 08:06:43 pm
por Dragora
Demo Exploit Code disponible para el error de escalada de privilegios en Windows

Iniciado por AXCESS

Respuestas: 0
Vistas: 1179
Último mensaje Abril 10, 2019, 04:19:17 pm
por AXCESS
Cómo Pixar recuperó 'Toy Story 2' tras borrar toda la película por error

Iniciado por Dragora

Respuestas: 0
Vistas: 697
Último mensaje Julio 01, 2019, 01:56:33 am
por Dragora
Hckers utilizaron el error de WhatsApp de 0 días para instalar programas espía

Iniciado por Dragora

Respuestas: 0
Vistas: 983
Último mensaje Mayo 14, 2019, 12:19:47 pm
por Dragora