Fue especialmente sonado el grave error que se descubrió en FaceTime a principio de 2019: el bug permitía escuchar y ver a quien llamabas en grupo antes de que descolgase. Fue tan grave que Apple deshabilitó la característica hasta que arregló este importante problema de privacidad descubierto por un adolescente.
La historia, ahora, sabemos que se ha repetido en otras aplicaciones dedicadas a la mensajería instantánea y con llamadas incluidas. Hablamos de Signal, Facebook Messenger, Google Duo, JioChat y Mocha han sido las afectadas.
Escuchando sin permiso antes de que los usuarios descuelguen
Los problemas han sido encontrados por la investigadora de seguridad de Google Project Zero, Natalie Silvanovich, que se preguntó si errores similares podrían estar dándose en otras plataformas dado que este error nunca había sido considerado como posible y, además, era fácil de lograr.
"El error fue notable tanto en su impacto como en su mecanismo. La capacidad de obligar a un dispositivo objetivo a transmitir audio a un dispositivo atacante sin obtener la ejecución del código fue un impacto inusual y posiblemente sin precedentes de una vulnerabilidad", ha explicado este martes.
Los errores encontrados y ya solucionados en Signal, Facebook Messenger, Google Duo, JioChat y Mocha permitían forzar a los dispositivos a los que se llamaba a transmitir audio a los dispositivos que realizaban la llamada sin necesidad de obtener la ejecución del código. También, en algunas de ello, se podía llegar a transmitir vídeo.
Parecería lógico que la transmisión de audio o vídeo en una llamada no se empezase a realizar hasta que el usuario receptor de la llamada no aceptase la misma, sin embargo, no sucedía así como comprobó Silvanovich. Diversas vulnerabilidad permitían que las llamadas se establecieran sin que el usuario receptor respondiese a la llamada.
El problema de Signal fue corregido en septiembre de 2019, el de Facebook Messenger en noviembre de 2020, el de Google Duo en diciembre de 2020, el de JioChat en julio de 2020 y el de Mocha en agosto de 2020. Cabe destacar que la investigadora solo buscó vulnerabilidades en las llamadas individuales y no en las grupales, como destaca en el artículo publicado. Una pieza en la que también señala el hallazgo en WhatsApp de un error que permitía comprometer o colapsar la aplicación solamente con responder a una llamada.
Silvanovich también trató de buscar bugs similares en otras aplicaciones como Telegram y Viber, aunque no encontró este tipo de problemas en las llamadas..
Ver 2 comentarios