Signal Corrige La Falla Que Revela La Ubicación, Introduce PIN De Señal

Signal ha corregido una vulnerabilidad que afectaba a su popular aplicación de comunicaciones seguras del mismo nombre y que permitía a los atacantes descubrir y rastrear la ubicación de un usuario.

La organización sin fines de lucro también anunció el martes un nuevo mecanismo, los PIN de señales, que eventualmente permitirá a los usuarios no usar su número de teléfono como su ID de usuario.

Sobre la vulnerabilidad

La vulnerabilidad, descubierta por el investigador de Tenable David Wells, se debe al hecho de que la bifurcación WebRTC utilizada por Signal para la comunicación de voz y video debe descubrir una ruta de conexión válida para que el local (la parte que llama) y el par remoto (la parte llamada) se comuniquen .

Al hacerlo, realiza una solicitud de DNS y revela el servidor DNS al que se conecta automáticamente el teléfono.

Si bien la información del servidor DNS no puede decirle a la persona que llama dónde se encuentra exactamente la persona que llama, ya que ofrece solo datos de ubicación aproximados, según Wells, "en casos como el DNS público de Google (8.8.8.8/8.8.4.4) y otros, este ataque puede reduzca la ubicación a la ciudad del usuario de Signal debido al uso de la subred del cliente EDNS".

Lo más importante es que la información se puede obtener incluso si la parte llamada no responde la llamada, lo que significa que la parte llamada no puede evitar que un atacante realice la llamada, cuelgue antes de responder y recopile la información del servidor DNS.

Hacerlo muchas veces durante el día y durante semanas le permitiría al atacante crear un perfil de servidores DNS frecuentes que la aplicación usa cuando la parte llamada se muda de casa, al trabajo, a una cafetería, etc.

Si bien esto puede no ser un problema para los usuarios promedio, uno puede ver cómo ciertos usuarios como periodistas, activistas, disidentes o incluso víctimas de acosadores podrían verse afectados por actores maliciosos que pueden conocer, en cualquier momento, su ubicación general.

Afortunadamente, Signal ya ha lanzado versiones actualizadas de Signal para Android (v4.59.11) e iOS (3.8.4) que solucionan el problema, por lo que los usuarios pueden actualizar sus aplicaciones de inmediato.

Si la actualización es imposible, Wells aconseja usar una aplicación VPN móvil que canalice el tráfico DNS.

Acerca de los PIN de señal

Al configurar y usar un PIN de señal, los usuarios podrán guardar (hacer copias de seguridad) datos importantes (por ejemplo, perfil, configuración de cuenta, contactos, lista de bloqueo) que podrían perder si sus teléfonos se pierden, son robados o destruidos. Esto también permitirá a los usuarios migrar fácilmente sus datos de Signal cuando cambien de teléfono.

Los datos se cifrarán y guardarán en los servidores de Signal, pero Signal no podrá acceder a ellos porque no conocen el PIN de los usuarios.

También es importante señalar que los datos guardados no incluyen las conversaciones de Signal.

Los PIN de Signal también pueden servir como un "bloqueo de registro" opcional, una protección adicional contra el secuestro de la cuenta de Signal.

Finalmente, como este mecanismo "también ayudará a facilitar nuevas funciones como el direccionamiento que no se basa exclusivamente en números de teléfono, ya que la libreta de direcciones del sistema ya no será una forma viable de mantener su red de contactos".

Los usuarios pueden cambiar su PIN y activar el Bloqueo de registro a través de la configuración de privacidad de la aplicación. Puede encontrar más información sobre los PIN de señal aquí.

Fuente: HelpNetSecurity

Via: feedproxy.google.com
Signal Corrige La Falla Que Revela La Ubicación, Introduce PIN De Señal Signal Corrige La Falla Que Revela La Ubicación, Introduce PIN De Señal Reviewed by Unknown on 13:29 Rating: 5