O Signal é uma das referências no que toca à segurança das comunicações. No entanto, recentemente foi descoberta – pelo Project Zero da Google – uma falha que permitia que as chamadas de áudio fossem atendidas sem a autorização do utilizador!
A falha, entretanto corrigida, estava presente nas apps para Android e iOS mas, por diferenças no SO, apenas era possível de ser explorada no Android.
Os serviços de comunicação, hoje em dia, têm quase todos incorporada a funcionalidade de chamadas de áudio. Esta capacidade, que nos remete para as chamadas telefónicas, permite estabelecer contacto de forma simples. Para quem procura segurança nessas comunicações, o Signal é uma das melhores escolhas.
Sendo até usado por Edward Snowden, o Signal destaca-se por ter encriptação ponta-a-ponta (E2EE), por ser open-source e gratuito!
Agora, uma falha descoberta pelo Project Zero da Google veio colocar em causa a segurança deste serviço de mensagens. Segundo o relatório, este bug permite que seja possível uma chamada ser atendida sem que o utilizador (destinatário) o autorize! A falha provém sobretudo do método ‘handle CallConnected’ que é usado para atender e terminar as chamadas.
Usando um cliente modificado, é possível enviar a mensagem de ‘conexão’ a um dispositivo e assim colocar a chamada a decorrer, mesmo não tendo sido atendida pelo destinatário. A falha permite que a chamada seja estabelecida, mesmo que o utilizador não tenha interagido com o dispositivo.
Os sintomas apresentados são bastantes idênticos ao famoso erro que assombrou o FaceTime no início do ano! No entanto, os casos diferenciam-se pelo facto de, no Signal, estar restrito às chamadas de áudio.
Este erro do Signal foi entretanto corrigido. A versão 4.47.7 da app para Android já não apresenta este problema que colocava assim a privacidade dos utilizadores em causa. Assim sendo, caso seja utilizador do Signal no Android, é importante que atualize já para a última versão disponível!