Este fallo de seguridad permitía a los atacantes grabar audio y video de los smartphones de las víctimas sin que ellos estuvieran enterados de la situación.
Project Zero ha descubierto un importante problema de seguridad en distintas aplicaciones de mensajería instantánea, tales como Signal, Facebook Messenger, Google Duo y JioChat.
Este fallo de seguridad permitía a los atacantes grabar audio y video de los smartphones de las víctimas sin que ellos estuvieran enterados de la situación.
Silvanovichs, investigadora de Project Zero es quien ha revelado el problema en estas aplicaciones, derivado del estándar WebRTC que utilizan las aplicaciones de este tipo para la comunicación en tiempo real. Dicho estándar permite que se realice la conexión entre dos dispositivos.
El problema de seguridad no fue un simple error en WebRTC, sino la manera en que cada desarrollador utiliza este estándar con sus “máquinas de estado”. Lo anterior permitió que un atacante realizara una llamada dentro de las aplicaciones a otro usuario sin que este supiera que estaba recibiendo la llamada, de forma que se podía acceder al audio del usuario y grabarlo sin su conocimiento y consentimiento.
Este fallo era posible explotarlo en videollamadas de Messenger y Google Duo.
Hasta el momento no hay información que revele cuántas víctimas potenciales hubo en relación a este fallo de seguridad en todas las aplicaciones afectadas.
Una vulnerabilidad que ya fue solucionada
Signal fue la primera aplicación en solucionar esta vulnerabilidad, pues realizó una actualización en septiembre de 2019 cambiando parte de su código, sin embargo, Google Duo y Messenger tardaron mucho tiempo en solucionar este problema.
La aplicación de videollamadas de Google solucionó este fallo hasta diciembre del año pasado, mientras que Facebook lo reparó un mes antes.
La investigadora revela que también analizó el estándar y su funcionamiento en aplicaciones como Telegram y Viber entre agosto y noviembre del año pasado y no encontró ningún problema de seguridad que pusiera en riesgo a los usuarios.
El equipo de seguridad que forma parte de Google ya ha revelado problemas graves antes de que otras compañías lo solucionen, como cuando revelaron cómo era posible saltarse las limitaciones de Windows 10s antes de que Microsoft pudiera publicar el parche para solucionar este problema.
Google fue la última compañía que solucionó el problema en su aplicación de videollamadas.