A empresa de mensagens focada na privacidade Signal está jogando água fria nos rumores generalizados de uma exploração de dia zero em seu popular aplicativo de bate-papo criptografado.
“Vimos relatórios virais vagos alegando uma vulnerabilidade de dia 0 do Signal. Após investigação responsável *não temos evidências que sugiram que esta vulnerabilidade seja real* nem qualquer informação adicional foi compartilhada através de nossos canais oficiais de denúncia”, disse Signal na noite de domingo.
Rumores de um dia zero do Signal começaram a circular no fim de semana com o que parece ser um aviso copiado e colado de que o recurso “gerar visualização de link” poderia ser explorado para assumir o controle total dos dispositivos.
“Para fechar a vulnerabilidade, faça com que todos acessem as configurações do seu perfil em sinal> bate-papos> desmarque “gerar visualização do link”. Certifique-se também de que seu aplicativo de sinalização esteja atualizado”, de acordo com a nota enigmática.
A fonte original do aviso de dia zero é desconhecida, mas a Signal disse que verificou seus contatos no governo dos EUA, uma vez que o relatório copiar e colar afirmava o USG como fonte. “Aqueles com quem conversamos não têm informações que sugiram que esta seja uma afirmação válida”, disse a empresa disse no Xo site de mídia social anteriormente conhecido como Twitter.
O recurso “gerar visualização de link” é conhecido por apresentar riscos de privacidade e segurança e levou a problemas de vulnerabilidade de gravidade crítica na plataforma WhatsApp da Meta.
O recurso, ativado por padrão em algumas instalações do Signal, exibe um breve resumo e uma imagem de visualização de um URL sendo enviado, mas os especialistas há muito tempo avisou que fornece superfície de ataque vazar endereços IP, expor links enviados em bate-papos criptografados de ponta a ponta e baixar desnecessariamente gigabytes de dados silenciosamente em segundo plano.
Curiosamente, o modo LockDown opcional da Apple desativa o recurso de visualização do link do iMessage em resposta a ataques maliciosos de fornecedores de spyware de vigilância.