¿Son peligrosas las nuevas vulnerabilidades en Signal?

Unos investigadores encontraron vulnerabilidades en la app de escritorio del servicio de mensajería de Signal. Analizamos los riesgos de seguridad.

El investigador de ciberseguridad John Jackson ha publicado un estudio sobre dos vulnerabilidades que encontró en la app de escritorio del servicio de mensajería Signal: la CVE-2023-24069 y la CVE-2023-24068 que, de acuerdo con el experto, los ciberdelincuentes podrían explotar para espionaje. Dado que las aplicaciones de escritorio de Signal tienen una base de código común para todos los sistemas operativos, ambas vulnerabilidades están presentes no solo en la versión para Windows, sino también en los usuarios de MacOS y Linux. Todas las versiones son vulnerables, hasta la última (6.2.0). Ahora analizaremos los peligros reales de esta amenaza.

¿Qué son las vulnerabilidades CVE-2023-24069 y CVE-2023-24068?

La primera vulnerabilidad, la CVE-2023-24069, radica en un mecanismo mal concebido que maneja los archivos enviados a través de Signal. Cuando mandas un archivo al chat de Signal, la app de escritorio lo guarda en un directorio local y, cuando se elimina, desaparece del directorio… a menos que alguien responda o lo reenvíe a otro chat. Además, a pesar de que Signal se posiciona como una mensajería segura y todas sus comunicaciones están cifradas, los archivos se almacenan sin protección.

La vulnerabilidad CVE-2023-24068 se encontró durante el estudio posterior del cliente, que carece de un mecanismo de validación de archivos, lo que permite que el atacante los reemplace. O sea, si el archivo reenviado se abre en la app de escritorio, alguien puede reemplazarlo en la carpeta local con uno falso. Por ende, en las siguientes transferencias, el usuario distribuirá el archivo cambiado en lugar del original que iba a reenviar.

¿Estas vulnerabilidades son peligrosas?

Los riesgos posibles de la CVE-2023-24069 son más o menos lógicos. Por ejemplo, si un usuario de la versión de escritorio de Signal deja su computadora desbloqueada y desatendida, alguien puede obtener acceso a los archivos enviados mediante Signal. Lo mismo puede pasar si el cifrado de disco completo está habilitado en la computadora y el propietario suele dejarla por ahí sin protección, como en un cuarto de hotel.

La explotación de la segunda vulnerabilidad requiere una estrategia más integral. Por ejemplo, si una persona recibe y envía archivos frecuentemente a través de la aplicación de escritorio de Signal; como un gerente que manda tareas a sus subordinados. En este caso, cualquier atacante con acceso a su computadora podría reemplazar uno de los archivos o, para pasar más desapercibido, modificar el documento existente, por ejemplo, insertando un script malicioso. Entonces, en los siguientes envíos de ese mismo archivo, su propietario estará enviando malware a sus contactos.

Cabe destacar que la explotación de ambas vulnerabilidades solo es posible si el atacante ya tiene acceso a la computadora de la víctima. Y, aunque inverosímil, no lo es tanto, dado que no hablamos de un acceso físico necesariamente. Bastaría con infectar la computadora con un malware que permita a desconocidos la manipulación de archivos.

¿Cómo protegerte?

Según CVE Program, los desarrolladores de Signal no conceden tanta relevancia a estas vulnerabilidades y afirman que su producto no debe ni puede proteger ante los atacantes con este nivel de acceso al sistema de la víctima. Por ende, el mejor consejo sería que dejes de usar la versión de escritorio de Signal (y las versiones de escritorio de todo servicio de mensajería en general). Pero si lo necesitas para ciertas tareas del trabajo, entonces te recomendamos que:

  • enseñes a tus empleados la importancia de no dejar descuidada y desbloqueada su computadora;
  • utilices siempre el cifrado de disco completo en los dispositivos corporativos;
  • utilices soluciones de seguridad que pueden detectar y detener el malware y los intentos de acceso no autorizado a tus datos.
Consejos