Se descubrió una seria vulnerabilidad XSS en Signal

Los investigadores han descubierto una grave vulnerabilidad de scripts (XSS) entre sitios que afecta a todas las versiones de escritorio de la aplicación de seguridad favorita de Edward Snowden, Signal.

Una falla XSS es una molestia en cualquier aplicación, pero en Signal, utilizada por quienes desean los niveles más altos de privacidad, esto se amplifica.

Un atacante que se haga pasar por un contacto podría usar la falla para enviar un mensaje que contenga una URL maliciosa para configurar un rango de casos de inyección de código utilizando etiquetas de imagen, audio o iframe, o simplemente para hacer que el programa se caiga.

El investigador Iván Ariel Barrera Oro, co-descubridor de la falla, describió cómo había llegado a este de forma completamente accidental:

Lo crítico aquí fue que no requirió ninguna interacción de la víctima, aparte de simplemente estar en la conversación.

Que significa:

Dentro de los iframes, todo era posible, ¡incluso cargar código desde un SMB compartido! Esto permite a un ciberatacante ejecutar código remoto sin preocuparse por CSP [Política de seguridad de contenido].

Eso no es una transgresión al cifrado de extremo a extremo del software, pero sería útil para un atacante que intenta engañar a una posible víctima para que renuncie a la información sobre sí mismo.

CVE-2018-10994 es el error que afecta a todas las versiones de escritorio (Windows, Mac, Linux) pero no a las aplicaciones móviles de Android o iOS. Las versiones vulnerables son v1.7.1, v1.8.0, v1.9.0 y v1.10.0, corregidas mediante la actualización a v1.10.1 o v1.11.0-beta.3.

Un aspecto curioso de este descubrimiento de defectos es la rapidez con la que se resolvió: alrededor de tres horas desde el reconocimiento del informe hasta la solución.

Después de estudiar el archivo utilizado para aplicar el parche, los investigadores notaron que originalmente había sido parte de una actualización a mediados de abril que no se aplicó por razones desconocidas.

El equipo de parches de Signal ha estado ocupado recientemente. En abril, un investigador descubrió una forma en que alguien con acceso físico a un dispositivo que ejecuta la versión de iOS podría eludir el bloqueo de pantalla.

Hace solo unos días, se descubrió un error por separado en la aplicación de escritorio de Mac en la que algunos mensajes de tiempo limitado o eliminados se copiaban en el búfer de notificaciones.

Luego estaba todo el tema de la vulnerabilidad en el marco de Electron también utilizado por Skype, Slack, Discord y otros.

Tal vez el mayor dolor de cabeza para Signal ha sido el cambio en el clima frente al dominio, una técnica utilizada para hacer que Signal (y otras aplicaciones) sea más difícil de censurar a nivel de ISP.

Esto llevó a un cese y desista de Amazon por el uso de AWS por parte de Signal.

Los errores pueden corregirse, pero superar la censura sigue siendo un trabajo de tiempo completo.

Artículos relacionados: 

• Detectan fallas críticas en herramientas de PGP y S/MIME
• Ropemaker permite a atacantes cambiar el contenido de un correo recibido
• Error crítico afecta aplicaciones de Windows creadas con Electron JS Framework