Los números de seguridad de la aplicación Signal no siempre cambian, aquí está el por qué

Esta semana, los investigadores de seguridad centraron su atención en un descubrimiento interesante al usar las aplicaciones de Signal en múltiples plataformas.

Cuando usted o su contacto reinstalan la aplicación Signal o cambian a un nuevo dispositivo, es posible que el número de seguridad de Signal entre ustedes dos no siempre cambie.

El número de seguridad es una función de la aplicación que ayuda a los usuarios a verificar la seguridad de sus mensajes y llamadas con sus contactos y, por lo general, se espera que cambie cuando cualquiera de las partes reinstala la aplicación o cambia de dispositivo.

La aplicación Signal no siempre restablece su número de seguridad

Las aplicaciones de mensajería cifrada de extremo a extremo como Signal tienen una función de seguridad llamada "número de seguridad" o "código de seguridad", a veces representado como un código QR.

Usted y cada uno de sus contactos en Signal comparten un número de seguridad único (SN) que actúa como la huella digital de la pareja y ayuda a ambos contactos a verificar la privacidad de sus comunicaciones.

Tú o tu contacto pueden abrir la aplicación Signal y tocar los nombres de otras personas. Si sigue tocando "Verificar número de seguridad", verá cuál es el número de seguridad de su pareja.

El número está representado tanto en un formato numérico legible por humanos como en un código QR:

Si los contactos reinstalan la aplicación de mensajería, cambian a un nuevo teléfono o cambian el número de teléfono, el número de seguridad y el código QR, son esperado cambiar.

O, al menos, esto es lo que declaró la documentación de Signal el mes pasado:

"Los escenarios más comunes en los que se muestra una alerta de número de seguridad son cuando un contacto cambia a un teléfono nuevo o reinstala Signal. Sin embargo, si un número de seguridad cambia con frecuencia o de forma inesperada, podría ser una señal de que algo anda mal ", lea el informe de Signal. archivado documentación, al 22 de mayo de 2021.

Pero, investigadores de seguridad Kelly Kaoudis, John Jackson, Códigos de enfermedad, es Robert Willis descubrió que, al instalar Signal en un dispositivo nuevo y transferir su cuenta, el número de seguridad de sus contactos y el de ellos no ha cambiado. Tampoco se notificó a los contactos de ningún cambio en el número de seguridad.

En el caso de Kaoudis, el investigador se sorprendió al saber que el número de seguridad para él y su contacto se mantuvo sin cambios.

Además, los investigadores probaron este comportamiento en múltiples plataformas que actualmente son compatibles con Signal, incluidas Linux, OSX, Android, iOS y Windows, y afirman que los números de seguridad no siempre cambiarían al eliminar y reinstalar la aplicación. Signal, o cuándo cambiar a otro dispositivo.

En las pruebas de BleepingComputer, desinstalar y reinstalar la aplicación Signal en dispositivos Android e iOS Reiniciar el número de seguridad y los contactos han sido notificados del cambio de número de seguridad.

Por lo tanto, BleepingComputer no pudo reproducir los problemas descritos en el informe de los investigadores.

"A mediados de mayo, obtuve un teléfono nuevo. En ese momento lo obtuve con cualquier cambio al dispositivo o la instalación de una de las partes en un chat con el historial de mensajes, el número de seguridad del chat de Signal cambia ".

"Esto solía ser pero (siguiendo un correo electrónico relacionado con el equipo de Signal en el transcurso de un mes) es ya no se refleja en la documentación de soporte de Signal ", dice Kaoudis.

Desde que informaron de este problema a Signal, los investigadores afirman que el problema se ha resuelto misteriosamente, afirmando que Signal parches desenrollados que consideren responsable de resolver el problema.

Tenga en cuenta que Signal ha revisado su documentación de respaldo para leer:

"Los escenarios más comunes en los que se muestra una alerta de número de seguridad son cuando un contacto cambia a un teléfono nuevo o reinstala Signal, pero estas acciones no siempre implican un cambio en el número de seguridad."

Entonces, ¿cuándo y por qué cambian los números de seguridad?

Para comprender mejor el problema, BleepingComputer se comunicó con Signal y preguntó específicamente en qué circunstancias cambiaban los números de seguridad y cuándo no.

Signal le dijo a BleepingComputer que no ha habido cambios en el código fuente que afecten a los números de seguridad.

El vicepresidente de ingeniería de Signal, Jim O'Leary, también dice que cualquier actualización realizada recientemente fue parte de las actualizaciones de mantenimiento regulares y explica por qué los números de seguridad pueden no cambiar en todas las circunstancias.

Por diseño, los SN no cambian cuando se transfiere un dispositivo de señal o cuando se cambia un dispositivo conectado, porque el material de la clave no cambia. lo hemos explicado varias veces e incluso lo hemos agregado a nuestro artículo de soporte / Preguntas frecuentes. ningún comportamiento aquí ha cambiado (2/2)

- jimio (@jimio) 5 de junio de 2021

Las respuestas posteriores a los informes de los investigadores de Signal nos brindan una mejor comprensión de cómo funcionan los números de seguridad de Signal, cuándo cambian y cuándo no.

La directora ejecutiva de Signal, Moxie Marlinspike, recurrió a Twitter para aclarar las circunstancias en las que los números de seguridad no cambian:

"Ha intentado (e informado) la instalación en un nuevo dispositivo mediante la transferencia de dispositivo de Signal y ha intentado realizar un ciclo de un dispositivo conectado".

"Estos no provocan notificaciones de cambio de SN, porque el material clave subyacente no ha cambiado, por lo que no hay nada que advertir", explicado Marlinspike.

Por "material clave", Marlinspike se refiere a qué forma la base de los números de seguridad y cómo se generan, como se explica en su 2016 es 2017 publicaciones de blog.

Además, en la misma conversación de Twitter, Marlinspike agrega que el informe de los investigadores cubre un caso de transferencia de dispositivo Signal, seguido del bucle de dispositivos conectados.

Sin embargo, al desinstalar o reinstalar Signal en un dispositivo desconectado, los números de seguridad deberían cambiar y "así es como siempre funcionó y debería haber funcionado".

Si Signal hubiera reparado en secreto todos los problemas descritos en el informe, siendo de código abierto, el suyo GitHub confirmar el historial revelaría los cambios:

Y si Signal ha "arreglado sigilosamente" las cosas (para que funcionen de la forma en que fueron diseñadas y siempre lo han hecho), ¿dónde está el compromiso? Es OSS, debería ser bastante fácil señalar la línea donde cambió.

- Moxie Marlinspike (@moxie) 5 de junio de 2021

El propósito original de los números de seguridad es permitir a los usuarios verificar la seguridad de sus mensajes y llamadas con contactos específicos.

"Cada chat uno a uno de Signal tiene un número de seguridad único que le permite verificar la seguridad de sus mensajes y llamadas con contactos específicos".

"Verificar los números de seguridad es una buena práctica de seguridad para las comunicaciones confidenciales. Si un número de seguridad se ha marcado como verificado, cualquier cambio debe aprobarse manualmente antes de enviar un nuevo mensaje".

"Esto permite a los usuarios controlar la privacidad de su comunicación con un contacto y ayuda a protegerse de cualquier intento hombre en el medio ataques ", dice Signal documentos de respaldo.

Por lo tanto, si el número de seguridad entre usted y su contacto cambia y ambos son notificados, es una buena idea verificar que se está comunicando con la persona designada.

Pero, como explica Signal, no todos los casos de reinstalación o migración de aplicaciones pueden provocar un cambio de número de seguridad y esto no es motivo de preocupación.