vulnerabilidades
El investigador de ciberseguridad John Jackson ha publicado un estudio sobre dos vulnerabilidades que encontró en el cliente de escritorio del mensajero Signal: la CVE-2023-24069 y la CVE-2023-24068 que, de acuerdo con el experto, podrían explotar los ciberdelincuentes para el espionaje. Dado que las aplicaciones de escritorio de Signal para todos los sistemas operativos tienen una base de código común, ambas vulnerabilidades están presentes no solo en el cliente de Windows, sino también en los clientes de MacOS y Linux. Todas las versiones hasta la última (6.2.0) son vulnerables. A continuación, analizamos los peligros reales de esta amenaza.
¿Qué son las vulnerabilidades CVE-2023-24069 y CVE-2023-24068?
La primera vulnerabilidad, la CVE-2023-24069, radica en un mecanismo mal concebido que maneja los archivos enviados a través de Signal. Cuando envías un archivo al chat de Signal, el cliente de escritorio lo guarda en un directorio local y, cuando se elimina, desaparece del directorio… a menos que alguien responda o lo reenvíe a otro chat. Además, a pesar de que Signal se posiciona como un mensajero seguro y todas las comunicaciones a través de él están cifradas, los archivos se almacenan sin protección.
La vulnerabilidad CVE-2023-24068 se encontró durante el estudio posterior del cliente, que carece de un mecanismo de validación de archivos, lo que permite que el atacante los reemplace. Es decir, si el archivo reenviado se ha abierto en el cliente de escritorio, alguien puede reemplazarlo en la carpeta local con uno falso. Por lo tanto, en las siguientes transferencias, el usuario distribuirá el archivo cambiado en lugar del que estaba destinado a reenviar.
¿Son peligrosas estas vulnerabilidades?
Los posibles riesgos de la CVE-2023-24069 son más o menos lógicos. Por ejemplo, si un usuario de la versión de escritorio de Signal deja el ordenador desbloqueado y desatendido, alguien puede obtener acceso a los archivos enviados a través de Signal. Lo mismo puede ocurrir si el cifrado de disco completo está habilitado en el ordenador y el propietario suele dejarlo desprotegido por ahí, como en una habitación de hotel.
La explotación de la segunda vulnerabilidad requiere una estrategia más integral. Por ejemplo, supongamos que una persona recibe y envía archivos con frecuencia a través de la aplicación de escritorio de Signal; como un gerente que envía tareas a sus subordinados. En esta situación, cualquier atacante con acceso a su ordenador podría reemplazar uno de los archivos o, para pasar más desapercibido, modificar el documento existente, por ejemplo, insertando un script malicioso. Entonces, en las próximas transferencias de ese mismo archivo, su propietario estará propagando el malware a sus contactos.
Cabe destacar que la explotación de ambas vulnerabilidades solo es posible si el atacante ya tiene acceso al ordenador de la víctima. Y, aunque lo parezca, no es tan inverosímil, dado que no estamos hablando necesariamente de acceso físico. Bastaría con infectar el ordenador con un malware que permita la manipulación de archivos a desconocidos.
¿Cómo protegerte?
De acuerdo con CVE Program, los desarrolladores de Signal no conceden tanta relevancia a estas vulnerabilidades y afirman que su producto no debe ni puede proteger contra los atacantes con este nivel de acceso al sistema de la víctima. Por lo tanto, el mejor consejo sería que dejes de usar la versión de escritorio de Signal (y las versiones de escritorio de los mensajeros en general). Pero si lo necesitas para ciertas tareas del trabajo, entonces te recomendamos que:
- enseñes a tus empleados la importancia de no dejar desatendido y desbloqueado el ordenador;
- utilices siempre el cifrado de disco completo en los dispositivos corporativos;
- utilices soluciones de seguridad que pueden detectar y detener el malware y los intentos de acceso no autorizado a tus datos.
