Natalie Silvanovich, investigadora de seguridad de Project Zero, ha reportado uno de los problemas de seguridad más graves dentro de aplicaciones de mensajería instantáneas como Signal, Facebook Messenger, Google Duo y JioChat.
Este fallo de seguridad permitía a los atacantes grabar audio y video de los smartphones de las víctimas sin que ellos estuvieran enterados de la situación.
Silvanovich revela que el problema de estas aplicaciones derivó del estándar WebRTC que utilizan la mayoría de las aplicaciones de mensajería para comunicación en tiempo real. Dicho estándar permite que se realice la conexión entre dos dispositivos.

El agujero de seguridad no fue como tal un error en WebRTC, sino en la forma en que cada desarrollador utiliza este estándar con sus “máquinas de estado”. Lo anterior permitió (teóricamente) que un atacante realizara una llamada dentro de las aplicaciones a otro usuario sin que este supiera que estaba recibiendo la llamada, de forma que se podía acceder al audio del usuario y grabarlo sin su conocimiento y consentimiento.
En el caso de Messenger y Google Duo, este problema también era posible explotarlo en videollamadas.
Hasta el momento no hay información que revele cuántas víctimas potenciales hubo en relación a este fallo de seguridad en todas las aplicaciones afectadas.

Una vulnerabilidad que ya fue solucionada
El reporte de Project Zero menciona que Signal fue la primera aplicación en solucionar esta vulnerabilidad, pues realizó una actualización en septiembre de 2019 cambiando parte de su código, sin embargo, Google Duo y Messenger tardaron mucho tiempo en solucionar este problema.
La aplicación …