MADRID
Agencia dpa / (Portaltic/EP)
Un error lógico en la aplicación de mensajería Signal en los dispositivos Android ha posibilitado que hackers pudieran acceder a las conversaciones telefónicas al permitir que se respondieran llamadas sin interacción del usuario, aunque ya está arreglada.
La ingeniera de Google Project Zero, Natalie Silvanovich, ha publicado en su cuenta oficial de Twitter la existencia de un error en Signal -la “app” de mensajería centrada en la seguridad y privacidad de los usuarios- que afectaba al cliente de Android y que permitía que la llamada a un usuario fuera contestada sin que este la aceptara.
«Un error en Signal permitía a la persona que llama forzar que la llamada fuera contestada sin interacción del usuario», asegura en su perfil. «Cuando la llamada está sonando, el botón de silenciar puede ser presionado para forzar al dispositivo al que se llama a que conecte, y el audio del dispositivo llamado será audible», explica Silvanovich en el blog de Chromium. De esta forma, el ‘hacker’ tendría acceso al contenido de la llamada sin que el usuario supiera que la había respondido.
Esto se debe al denominado método “Handle Call Connected” que permite que una llamada acabe conectándose. Normalmente, las llamadas en la aplicación se responden o bien presionando sobre el botón “aceptar” o bien cuando el dispositivo que llama recibe una mensaje con las palabras “conectar” que indican que el receptor ha aceptado la llamada.
Sin embargo, «utilizando un cliente modificado, es posible enviar el mensaje de ‘conectar’ a un dispositivo que llama cuando una llamada entrante está en progreso pero todavía no ha sido aceptada por el usuario», asegura Silvanovich. Así, la llamada será contestada, pero el usuario no habrá interactuado en ningún momento con el dispositivo.
«La llamada conectada solo será una llamada de audio, ya que el usuario necesita habilitar manualmente el video en todas las llamadas», apunta.
Aunque en principio se trata de «error lógico» que solo ha afectado al cliente de Android, y que se arregló el pasado viernes, la ingeniera también señala que el cliente de iOS pudo estar afectado por un error lógico similar. En este caso, la llamada no se completaba debido a un error en la interfaz de usuario «causado por una secuencia de estados inesperada».
