El jueves,
Reuters publicó una fotografía
de Waltz revisando su teléfono móvil durante una reunión de gabinete celebrada
por Donald Trump. La pantalla parece mostrar mensajes de varios altos
funcionarios del gobierno, como JD Vance, Tulsi Gabbard y Marco Rubio.
Según descubrió 404 Media, Mike Waltz, quien hasta el jueves fue asesor de Seguridad Nacional de
EE.UU., reveló inadvertidamente que usa una versión oscura y no oficial de
Signal diseñada para archivar mensajes, lo que genera dudas sobre la
clasificación de la información que los funcionarios discuten en la aplicación
y cómo se protegen esos datos.
En la parte inferior de la pantalla del teléfono de Waltz aparece un mensaje
similar al mensaje de verificación de PIN habitual de Signal. Esto a veces
parece animar a los usuarios a recordar su PIN, lo que puede impedir que otros
se apropien de su cuenta. Pero el mensaje es ligeramente diferente: le pide a
Waltz que verifique su PIN de «TM SGNL». Este no es el mensaje que se
muestra en la versión oficial de Signal.
En realidad, «TM SGNL» parece referirse a un software de una empresa llamada
TeleMessage que crea clones de aplicaciones de mensajería populares, pero
añade la función de archivado a cada una. Una página en el sitio web de
TeleMessage explica a los usuarios cómo instalar «TM SGNL». En esa página, se
describe cómo la herramienta puede «capturar» mensajes de Signal en iOS,
Android y computadoras de escritorio.
«Archiva los mensajes de texto, chats y llamadas móviles de tu
organización»,
dice la página principal de TeleMessage.
En un video subido a YouTube, TeleMessage afirma que funciona tanto en
dispositivos corporativos como en teléfonos BYOD (traiga su propio
dispositivo). En la demostración, dos teléfonos con la aplicación intercambian
mensajes y archivos adjuntos, y participan en un chat grupal. El video afirma
que la aplicación mantiene intacta la seguridad de Signal y el cifrado de
extremo a extemo al comunicarse con otros usuarios de Signal.
«La única diferencia es que la versión de TeleMessage captura todos los
mensajes entrantes y salientes de Signal para archivarlos», continúa el video.
El hecho de que Waltz utilice la versión TeleMessage de Signal pone de relieve
la tensión y la complejidad asociadas a la comunicación entre altos
funcionarios gubernamentales sobre temas delicados a través de una aplicación
configurada para mensajes que desaparecen. Los funcionarios gubernamentales
deben mantener registros de sus comunicaciones, pero el archivo, si no se
gestiona correctamente, puede suponer riesgos de seguridad para dichos
mensajes.
Un portavoz de Signal declaró a 404 Media por correo electrónico:
«No podemos garantizar la privacidad ni la seguridad de las versiones no
oficiales de Signal».
Descubrimientos «interesantes»
El investigador
Micah Lee realizó un análisis de la aplicación, con hallazgos interesantes, los cuales luego fueron confirmados por otros
investigadores y criptógrafos.
-
Los altos ejecutivos de la empresa detrás de TM SGNL parecen ser israelíes,
y la biografía del director ejecutivo menciona su trabajo con la unidad de
inteligencia de las Fuerzas de Defensa de Israel. -
Es muy probable que TM SGNL esté violando la licencia de código abierto de
Signal, y las demás aplicaciones de la empresa probablemente estén violando
las licencias propietarias de otros programas como WhatsApp y WeChat. -
Las versiones de la aplicación para Android e iOS no están disponibles para
su descarga pública; de hecho, prácticamente la única forma de obtenerla es
usando un dispositivo registrado en un servicio MDM vinculado a una cuenta
de Apple Business Manager o Google Enterprise. -
Según la foto de la pantalla de Waltz, es probable que TM SGNL sea una
versión de Signal ligeramente modificada. El nombre de la aplicación ha
cambiado de «Signal» a «TM SGNL» (por eso la pantalla de Waltz dice
«Verifica tu PIN de TM SGNL» en lugar de «Verifica tu PIN de Signal»). -
Es probable que se ejecute un código adicional cada vez que se envía o
recibe un mensaje, el cual reenvía la versión de texto plano de ese mensaje
al «archivo corporativo», como lo llama la empresa. -
La administración Trump está usando esta aplicación (no aprobada para
información clasificada) para hablar de información clasificada, y cómo
probablemente estén gestionando su flota de iPhones. -
El código fuente de Android incluye una carpeta .git completa, con un
historial completo de Git y múltiples ramas y etiquetas, todo lo cual he
subido a GitHub. Se puede ver exactamente quién contribuyó con qué código. - El código fuente contiene credenciales codificadas y otras vulnerabilidades.
-
Finalmente, comparte un
PDF
y un video que detallan, entre otras cosas, dónde se pueden almacenar los
registros de chat.
Fuente:
Micah Lee