Durante el fin de semana circularon rumores de que Signal, uno de los aplicaciones de chat cifradas más confiables en la web, tenía una vulnerabilidad de día cero bastante grave. Las afirmaciones, que ahora han sido casi desacreditadas, rápidamente causaron una Pánico en la comunidad de infosec .
Sitio de seguridad BleepingComputer informes que “numerosas fuentes” se comunicaron con el supuesto error, y algunas alegaron que habían oído que era tan malo que podría provocar a “una adquisición completa de los dispositivos [afectados]». Desafortunadamente, los detalles reales sobre el error fueron escasos, aunque una afirmación que se repitió con frecuencia era una supuesta técnica de mitigación: para apagar la señal vista previa de enlaces característica. Esto parecía indicar que la vulnerabilidad tenía algo que ver con esta característica. Otro rumor era que las acusaciones venían de personas que trabajaron para el gobierno federal, lo que pareció agregar legitimidad a las reclamaciones.
Todo generado interés significativo de profesionales de seguridad en sitios sociales como X y Mastodon, muchos de los cuales dijeron que estaban investigando los reclamos por sí mismos.
Sin embargo, según Signal, los informes son mucho ruido y pocas nueces. La compañía dice que ha investigado los rumores de error y ha encontrado No hay nada que los fundamente. El domingo, la presidenta de Signal, Meredith Whittaker, se dirigió a X para emitir una refutación explícita. quien recibió el extraño informe viral de una vuln en Signal. Después de investigar: NO TENEMOS EVIDENCIA DE QUE EL INFORME sea REAL”, Whittaker tuiteó.
Tras la respuesta de Signal, algunos profesionales de la seguridad criticaron la histeria que llevó a que las afirmaciones se volvieran virales. “Realmente decepcionado con la cantidad de Personas de seguridad de la información que compartieron la señal 0day copypasta este fin de semana sin investigar en absoluto ni confirmarla», tuiteó Cooper Quinton, investigador de la Electronic Frontier Foundation. “No somos inmunes a los ataques de desinformación y este fin de semana fue un ejemplo sorprendente de eso”.
Es cierto que la industria de vigilancia comercial está llena de hackers contratados que buscan vulnerabilidades de seguridad en plataformas ampliamente utilizadas, especialmente en Messenger. De hecho, toda unamercado de día cero para mensajeros existe y, a principios de este mes, un informe de TechCrunch demostró que Estas vulnerabilidades valen hasta 8 millones de dólares para el comprador adecuado. Si existiera una para Signal, una aplicación de privacidad ampliamente confiable, sin duda valdría bastante dinero.
Aunque Signal ha dicho que no tiene evidencia de un error, todavía parece estar interesado en cualquier evidencia de que la vulnerabilidad sea real y ha sugerido que cualquier persona que tenga información relevante se comunique con ellos en [email protected].
