Un error lógico en la aplicación de mensajería Signal en los dispositivos Android ha posibilitado que ciberdelincuentes pudieran acceder a las conversaciones telefónicas al permitir que se respondieran llamadas sin interacción del usuario, aunque ya está arreglada.

La ingeniera de Google Project Zero, Natalie Silvanovich, ha publicado en su cuenta oficial de Twitter la existencia de un error en Signal -la «app» de mensajería centrada en la seguridad y privacidad de los usuarios- que afectaba al cliente de Android y que permitía que la llamada a un usuario fuera contestada sin que este la aceptara.

«Un error en Signal permitía a la persona que llama forzar que la llamada fuera contestada sin interacción del usuario», asegura en su perfil. «Cuando la llamada está sonando, el botón de silenciar puede ser presionado para forzar al dispositivo al que se llama a que conecte, y el audio del dispositivo llamado será audible», explica Silvanovich en el blog de Chromium. De esta forma, un ciberdelincuente tendría acceso al contenido de la llamada sin que el usuario supiera que la había respondido.

Esto se debe al denominado método «Handle Call Connected» que permite que una llamada acabe coenctándose. Normalmente, las llamadas en la aplicación se responden o bien presionando sobre el botón «aceptar» o bien cuando el dispositivo que llama recibe una mensaje con las palabras «conectar» que indican que el receptor ha aceptado la llamada.

Sin embargo, «utilizando un cliente modificado, es posible enviar el mensaje de 'conectar' a un dispositivo que llama …