Error grave descubierto en la aplicación Signal Messaging para Windows y Linux

Los investigadores de seguridad han descubierto una vulnerabilidad grave en la popular aplicación de mensajería de Signal cifrada de extremo a extremo para escritorios Windows y Linux que podría permitir a atacantes remotos ejecutar código malicioso en el sistema de destinatarios simplemente enviando un mensaje, sin requerir ninguna interacción del usuario.

Descubierta por Alfredo Ortega, un consultor de seguridad de software de Argentina, la vulnerabilidad se anunció en Twitter hace unas horas con un video de prueba de concepto, que demuestra cómo una carga de JavaScript enviada a través de la aplicación Signal for Desktop se ejecutó exitosamente en el sistema del destinatario.

Aunque los detalles técnicos de la vulnerabilidad no se han revelado hasta ahora, el problema parece ser una vulnerabilidad de ejecución remota de código en Signal o al menos algo muy cercano a la persistencia de cross-site scripting (XSS) que eventualmente podría permitir a los atacantes inyectar código malicioso. en sistemas Windows y Linux específicos.

"Por el momento, solo podemos confirmar la ejecución del código javascript. Sin embargo, estamos rastreando un problema de corrupción de montón, y es muy probable que la ejecución de javascript podría llevar a la ejecución de código nativo con investigación adicional".

Ortega también nos confirma que la explotación de este problema requiere encadenar un par de vulnerabilidades encontradas por otros dos investigadores de seguridad de Argentina, Ivan y Juliano.

"Puedo confirmar que este error no existía antes y fue introducido por última vez porque los desarrolladores se olvidaron de por qué había una expresión regular allí para empezar. Me gustaría recomendar un comentario a este comentario si no se repite de nuevo (TBD)"

En este momento, no está claro si la vulnerabilidad principal u otros errores encadenados residen solo en el código fuente de Signal o también en el popular marco de aplicación web Electron, la tecnología en la que se basan las aplicaciones de escritorio de Signal.

Si el fallo reside en el marco de trabajo de Electron, también podría afectar otras aplicaciones de escritorio ampliamente utilizadas, como Skype, Wordpress y Slack, que también usan el mismo marco.

Además, la comunidad infosec también está preocupada de que si este fallo permite a los atacantes remotos robar sus claves secretas de cifrado, sería la peor pesadilla para los usuarios de Signal.

La buena noticia es que Open Whisper Systems ya ha abordado el problema e inmediatamente lanzó nuevas versiones de la aplicación Signal en unas pocas horas después de recibir la revelación de vulnerabilidad responsable por parte del investigador.

La vulnerabilidad principal que desencadena la ejecución del código se ha parcheado en la versión estable de Signal 1.10.1 y en la versión preliminar 1.11.0-beta.3. Por lo tanto, se recomienda a los usuarios que actualicen su señal para aplicaciones de escritorio lo antes posible.

"En este momento no estamos seguros de que todas las vulnerabilidades encadenadas juntas hayan sido reparadas", dijo Ortega.

La última versión también parcheó una vulnerabilidad recientemente divulgada en Signal para aplicaciones de escritorio que exponía la desaparición de mensajes en una base de datos legible por el usuario del Centro de notificaciones de macOS, incluso si se eliminan de la aplicación.