Una vulnerabilità nel sistema consentiva a terzi incomodi di dar seguito alle chiamate ricevute via p2p, impersonando i reali utenti
La popolare piattaforma di messaggistica crittografata Signal ha risolto un difetto cruciale nella sua app per Android, che consentiva a cattivi attori di rispondere alle chiamate per conto del reale utilizzatore. Per tappare la falla, il gruppo ha lavorato sodo, senza richiedere alcuna azione da parte delle persone se non l’update dell’app. l team Project Zero di Google, che ha scoperto il bug il 28 settembre, ha affermato che questo riguarda solo le chiamate audio, visto che l’opzione video deve essere abilitata manualmente per tutte le telefonate in arrivo. Molto rapidamente, Signal ha risolto il problema con l’ultimo aggiornamento dell’app, la versione 4.47.7. Ovviamente bisogna andare sul Play Store ed effettuare la sostituzione manualmente se non sono attivati i download automatici.
Cosa succede
“Utilizzando un client modificato, era possibile inviare il messaggio Connetti a un dispositivo chiamato quando era in corso una chiamata in arrivo, senza che fosse ancora accettata dall’utente. Ciò provoca la risposta alla telefonata, anche se il reale utilizzatore non ha interagito con lo smartphone” – ha osservato Natalie Silvanovich di Project Zero. Il difetto di intercettazione era un problema anche nella versione iOS di Signal, se non fosse stato per un errore nell’interfaccia utente che ha impedito il completamento della chiamata.
E infatti, allo stato attuale, il bug non può essere sfruttato su iPhone. La falla è molto simile ad una vulnerabilità di FaceTime scoperta quest’anno, che permetteva a un utente malintenzionato remoto di sentire la voce di un’altra persona anche prima che rispondessero alla chiamata. In quel caso, Apple aveva temporaneamente disattivato la funzionalità Chi usa Signal non dovrebbe perdere tempo ad aggiornare l’app.
