Una de las preocupaciones más importantes de los usuarios por mantener su comunicación segura ha generado un gran auge de aplicaciones que prometen un alto nivel de seguridad, sin embargo, los análisis de empresas expertas en seguridad han revelado que estas apps han puesto en riesgo información sensible. Es el es el caso de Signal, considerada como una de las más seguras del mercado y de la que se ha encontrado una grave falla que permite compartir en tiempo real la localización de su usuario.
El investigador David Wells descubrió que podía rastrear los movimientos de un usuario simplemente llamando a su número de Signal, ya sea que el usuario tenga su información de contacto o no. Esto podría ser un gran problema para las víctimas de acoso o para los activistas y periodistas que intentan evitar la detección del gobierno o de las fuerzas del orden público para filtrar información o actuar en calidad de denunciantes.
Hay dos aspectos de la vulnerabilidadFallos o deficiencias de un programa que pueden permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas de manera remota. También conocidos como "agujeros de seguridad" pueden ser aprovechadas por atacantes mediante exploits, para acceder a los sistemas con fines maliciosos. Las empresas deben ser conscientes de estos riesgos y mantener una..., dijo Wells. Una es que si dos usuarios de Signal se tienen entre sí como contactos, es posible que determinen la ubicación y la dirección IP del otro llamando, incluso si la persona a la que se llama no contesta el teléfono.
Así te pueden geolocalizar con Signal
«Supongamos que tengo un teléfono desechable y simplemente llamo a tu teléfono, y lo hago tan rápido que todo lo que ves es una llamada perdida de algún número», dijo Wells. Resulta que eso es suficiente para que la persona vea a qué servidor DNS se conecta automáticamente su teléfono. «Por lo general, estará algo cerca de usted», continuó Wells. “Para que pueda obligar a ese servidor DNS cercano a conectarse conmigo. Al obtener esa información, sé qué servidor DNS está utilizando y puedo determinar su ubicación general «.
Aunque Signal comunicó tener resuelto el parche en Github y así resolver el fallo, esto no se había aplicado en las actualizaciones de la app existente en los markets.