Graves problemas de seguridad en las aplicaciones de escritorio de Telegram y Signal

Cuando se habla de mensajería móvil y se menciona la seguridad como elemento a tener en cuenta hay dos aplicaciones que siempre suelen salir nombradas.

Una es Telegram, que ganó su fama cuando WhatsApp no se preocupaba lo más mínimo por este aspecto, a pesar de que en realidad solo los chats secretos son realmente seguros y la mayoría de la gente usa los chats normales.

La otra es Signal, que por encima de otras menos conocidas como Wickr, Threema, o Wire, se ha ganado la reputación por su cifrado tanto en mensajes como en llamadas y videollamadas.

Por eso es precisamente tan curioso que en un plazo de un mes estas dos aplicaciones hayan sumado problemas de seguridad relativos a su cliente de escritorio.

Telegram y la filtración de la IP en las llamadas

Empecemos por Telegram y por el primero de los dos problemas que se han reportado en poco tiempo en la aplicación de escritorio.

En imputzero se hacían eco a finales de Septiembre de un problema que afectaba a Telegram for Desktop y Telegram for Windows, y cuyo descubrimiento había reportado a su descubridor, Dhiraj, un premio de 2.000 €.

El problema consistía en que si en los ajustes de llamadas tenías activada la opción peer to peer la IP era filtrada. Opción que por otro lado se podía desactivar en las aplicaciones móviles pero no en las aplicaciones de escritorio.

Telegram tomó nota y solucionó el problema en las versiones 1.3.17 beta y 1.4.0 añadiendo a sus versiones de escritorio el poder desactivar ese ajuste

Ajustes de privacidad de Telegram para las llamadas P2P

Además Pavel Durov, fundador de Telegram, emitió un comunicado en su canal de Telegram donde básicamente explicaba que, más allá del sensacionalismo, mientras la calidad de la llamada mejora, y baja la latencia, mediante el P2P, la contraparte de ese sistema es que los participantes deben conocer las IPs.

De paso aseguraba que eso pasa tanto con Telegram como con cualquier otra aplicación que usa el mismo sistema (incluyendo WhatsApp o Viber), pero que Telegram es la única que permite desactivar ese enrutado en las aplicaciones móviles, que acaparan más del 99% de las llamadas realizadas, y lo habían añadido a las versiones de escritorio en cuanto el desarrollador se lo señaló.

Telegram para escritorio guarda todas las conversaciones sin cifrar

El segundo problema de seguridad de Telegram con sus aplicaciones de escritorio es más grave y también reciente. Ni más ni menos que el descubrimiento por parte de Nathaniel Suchy de que las aplicaciones de escritorio de Telegram guardan las conversaciones en una base de datos SQLite sin cifrar.

Es decir, que incluso aunque protejamos la aplicación de escritorio con una contraseña, como podemos hacer en los ajustes de privacidad, cualquiera que acceda al ordenador puede ver las conversaciones, archivos multimedia enviados, y los nombres y teléfonos de los contactos con un simple visor de archivos SQLite como nos cuentan en RedesZone.

La única solución por lo tanto, si de verdad alguien quiere proteger sus conversaciones en la aplicación de escritorio, sería que el propio usuario se encargara de aplicar el cifrado con otras herramientas como Veracrypt.

Signal guarda las conversaciones exportadas en texto plano…

Más sorprendente es aún el caso de Signal por la fama de aplicación segura, y es que su cliente de escritorio también acumula dos problemas graves.

El primero, reportado por Matt Suiche recuerda mucho a lo que hemos visto con las conversaciones en texto plano de Telegram.

Antes de que llegara la versión de escritorio de Signal hace un año la única forma de usarlo desde un ordenador era con la extensión de Google Chrome ahora desaconsejada.

Cuando llegó la versión para escritorio, que no te obliga a instalar el navegador de Google, vino acompañada de un sistema para exportar las conversaciones e importarlas en el nuevo programa. El problema es que las conversaciones en ese archivo no se encuentran cifradas, Signal no avisa de ello, y el archivo no se elimina automáticamente tras la importación.

… Y también la llave de cifrado

Pues sí, el problema de Signal relacionado con el cliente de escritorio no se reduce a que las conversaciones a importar desde la extensión para Chrome no estén cifradas, sino que además cuando se instala la aplicación de escritorio y se crea la base de datos cifrada que almacenará las conversaciones, la llave de cifrado se guarda… en texto plano. O, simplificando mucho, lo que hace el programa de escritorio de Signal es como si instalas la mejor cerradura del mercado y después te dejas las llaves al alcance de cualquiera.

El problema, que por cierto, también ha sido descubierto por Nathaniel Suchy ha tenido en este caso una respuesta en los foros de Signal que como mínimo deja muchas dudas, ya que asegura que el que la llave que puede descifrar la base de datos no es un error, y a su vez que el cifrado de la base de datos se realiza por motivos de rendimiento.

Respuesta en los foros de Signal sobre el problema de la llave de cifrado

Telegram y Signal siguen siendo excelentes herramientas de mensajería, la primera por su versatilidad, la segunda por su seguridad, pero es necesario ser consciente de estos problemas a la hora de que nos planteemos confiar ciegamente en datos que creamos que requieren una privacidad absoluta.

Vía | BleepingComputer (1) | BleepingComputer (2) | RedesZone | Bleeping Computer (3)

Seth

Seth

Gatoflauta protestón incorregible, friki en mi tiempo libre, friki en mi tiempo ocupado, y a una cámara pegado. Android, privacidad, obsesiones tecnológicas y políticas, y escritura por desahogo. "Normal" sólo a veces.
Seth

Seth

Gatoflauta protestón incorregible, friki en mi tiempo libre, friki en mi tiempo ocupado, y a una cámara pegado. Android, privacidad, obsesiones tecnológicas y políticas, y escritura por desahogo. "Normal" sólo a veces.