O pesquisador de cibersegurança John Jackson publicou um estudo sobre duas vulnerabilidades que ele encontrou na aplicação de desktop do messenger Signal – a CVE-2023-24069 e a CVE-2023-24068. O especialista tem certeza de que os cibercriminosos podem explorar essas vulnerabilidades para espionagem. Como os apps de desktop do Signal para todos os sistemas operacionais têm uma base de código comum, ambas as falhas de segurança estão presentes não apenas na versão Windows, mas também nas aplicações para MacOS e Linux. Todas as versões até a mais recente (6.2.0) são vulneráveis. Vejamos quão real é a ameaça.
Quais são as vulnerabilidades CVE-2023-24069 e CVE-2023-24068?
A primeira vulnerabilidade, a CVE-2023-24069, está em um mecanismo não muito bem desenvolvido que lida com arquivos enviados via Signal. Quando você envia um arquivo para o chat do Signal, o desktop client o salva em um diretório local. Quando um arquivo é excluído, ele desaparece do diretório… a menos que alguém responda a mensagem ou a encaminhe para outro chat. Além disso, apesar do Signal ser reconhecido como um aplicativo de mensagens instantâneas seguro e todas as comunicações por meio dele serem criptografadas, os arquivos são armazenados de forma desprotegida.
Já a vulnerabilidade CVE-2023-24068 foi encontrada durante um estudo mais aprofundado do cliente. Foi descoberto que o cliente não possui um mecanismo de validação de arquivo. Teoricamente, isso permite que o invasor o substitua. Ou seja, se o arquivo encaminhado foi aberto no app para desktop, alguém pode substituí-lo na pasta local de maneira obtusa. Portanto, com transferências posteriores, o usuário distribuirá o arquivo plantado em vez daquele que pretendia encaminhar.
Como as vulnerabilidades CVE-2023-24069 e CVE-2023-24068 podem ser perigosas?
Os riscos potenciais do CVE-2023-24069 são mais ou menos compreensíveis. Digamos que, se um usuário da versão para desktop do Signal deixar o computador desbloqueado sem vigilância, alguém poderá obter acesso aos arquivos enviados pelo Signal. O mesmo pode acontecer se a criptografia completa do disco estiver habilitada no computador e o proprietário deixá-lo em algum lugar sem vigilância (em quartos de hotel, por exemplo).
A exploração da segunda vulnerabilidade requer uma abordagem mais abrangente. Digamos que uma pessoa receba e envie arquivos com frequência por meio do aplicativo Signal para desktop (por exemplo, um gerente enviando tarefas aos subordinados). Em seguida, um invasor com acesso ao seu computador pode substituir um dos arquivos ou, para fins de sigilo, modificar o documento existente, por exemplo, inserindo um script malicioso. Assim, com outras transferências do mesmo arquivo, seu proprietário original espalhará o malware para seus contatos.
É importante enfatizar que a exploração de ambas as vulnerabilidades só é possível se o invasor já tiver acesso ao computador da vítima. Mas este não é um cenário irreal — não estamos necessariamente falando de acesso físico. Bastaria infectar o computador com malware que permite que estranhos manipulem arquivos.
Como se manter seguro?
De acordo com o Programa CVE, os desenvolvedores do Signal discordam da importância dessas vulnerabilidades, afirmando que seu produto não deve e não pode proteger de invasores com esse nível de acesso ao sistema da vítima. Portanto, o melhor conselho seria não usar a versão desktop do Signal (e as versões desktop de outros apps de mensagens instantâneas). Mas se o seu processo de trabalho exigir isso para algumas tarefas, recomendamos:
- ensine seus funcionários a não deixar um computador desbloqueado sem vigilância;
- sempre use criptografia de disco completa em dispositivos de trabalho;
- empregue soluções de segurança que podem detectar e interromper malware e tentativas de acesso não autorizado aos seus dados.