Signal da aggiornare: utenti spiabili con una semplice chiamata vocale

Moxie Marlinspike è lo sviluppatore che ha realizzato l’applicazione per la messaggistica sicura Signal e ha fornito a WhatsApp lo stesso algoritmo crittografico utilizzato in forma leggermente modificata.
Utilizzata dallo stesso Edward Snowden, Signal è da sempre considerata come una delle app più adatte per scambiarsi messaggi senza essere spiati.

Gli sviluppatori di Signal sono stati però costretti a intervenire rapidamente per risolvere una grave vulnerabilità nell’applicazione.
Vi ricordate la falla scoperta in Apple FaceTime all’inizio dell’anno (Apple FaceTime si trasforma in una cimice: possibile spiare audio ambientale e ricevere flussi video)? Quella recentemente individuata in Signal appare molto simile.

La ricercatrice Natalie Silvanovich (Google Project Zero) ha infatti scoperto che era possibile spiare le vittime, utenti di Signal e possessori di un dispositivo Android, semplicemente effettuando una chiamata e provocando la risposta automatica sull’altro terminale. A questo punto l’utente malintenzionato poteva ascoltare l’audio ambientale.

La Silvanovich ha spiegato che è sufficiente usare una versione di Signal leggermente modificata e premere il pulsante Muto per evitare di insospettire l’utente chiamato.

Signal, che supporta il trasferimento di informazioni con la crittografia end-to-end, è ampiamente usata da giornalisti, politici, dissidenti, uomini d’affari, ricercatori sulla sicurezza e molte altre figure di alto profilo. Essere in grado di spiare queste figure potrebbe tradursi in un vantaggio per molti gruppi di criminali informatici, agenzie di intelligence, enti statali e così via.

Il problema di sicurezza è stato risolto contestualmente con la pubblicazione del report della Silvanovich a partire dalla release di Signal 4.47.7.