El jueves, Reuters publicó una fotografía de Waltz revisando su teléfono móvil durante una reunión de gabinete celebrada por Donald Trump. La pantalla parece mostrar mensajes de varios altos funcionarios del gobierno, como JD Vance, Tulsi Gabbard y Marco Rubio.
Según descubrió 404 Media, Mike Waltz, quien hasta el jueves fue asesor de Seguridad Nacional de EE.UU., reveló inadvertidamente que usa una versión oscura y no oficial de Signal diseñada para archivar mensajes, lo que genera dudas sobre la clasificación de la información que los funcionarios discuten en la aplicación y cómo se protegen esos datos.
En la parte inferior de la pantalla del teléfono de Waltz aparece un mensaje similar al mensaje de verificación de PIN habitual de Signal. Esto a veces parece animar a los usuarios a recordar su PIN, lo que puede impedir que otros se apropien de su cuenta. Pero el mensaje es ligeramente diferente: le pide a Waltz que verifique su PIN de "TM SGNL". Este no es el mensaje que se muestra en la versión oficial de Signal.
En realidad, "TM SGNL" parece referirse a un software de una empresa llamada TeleMessage que crea clones de aplicaciones de mensajería populares, pero añade la función de archivado a cada una. Una página en el sitio web de TeleMessage explica a los usuarios cómo instalar "TM SGNL". En esa página, se describe cómo la herramienta puede "capturar" mensajes de Signal en iOS, Android y computadoras de escritorio. "Archiva los mensajes de texto, chats y llamadas móviles de tu organización", dice la página principal de TeleMessage.
En un video subido a YouTube, TeleMessage afirma que funciona tanto en dispositivos corporativos como en teléfonos BYOD (traiga su propio dispositivo). En la demostración, dos teléfonos con la aplicación intercambian mensajes y archivos adjuntos, y participan en un chat grupal. El video afirma que la aplicación mantiene intacta la seguridad de Signal y el cifrado de extremo a extemo al comunicarse con otros usuarios de Signal. "La única diferencia es que la versión de TeleMessage captura todos los mensajes entrantes y salientes de Signal para archivarlos", continúa el video.
El hecho de que Waltz utilice la versión TeleMessage de Signal pone de relieve la tensión y la complejidad asociadas a la comunicación entre altos funcionarios gubernamentales sobre temas delicados a través de una aplicación configurada para mensajes que desaparecen. Los funcionarios gubernamentales deben mantener registros de sus comunicaciones, pero el archivo, si no se gestiona correctamente, puede suponer riesgos de seguridad para dichos mensajes.
Un portavoz de Signal declaró a 404 Media por correo electrónico: "No podemos garantizar la privacidad ni la seguridad de las versiones no oficiales de Signal".
Descubrimientos "interesantes"
El investigador Micah Lee realizó un análisis de la aplicación, con hallazgos interesantes, los cuales luego fueron confirmados por otros investigadores y criptógrafos.
- Los altos ejecutivos de la empresa detrás de TM SGNL parecen ser israelíes, y la biografía del director ejecutivo menciona su trabajo con la unidad de inteligencia de las Fuerzas de Defensa de Israel.
- Es muy probable que TM SGNL esté violando la licencia de código abierto de Signal, y las demás aplicaciones de la empresa probablemente estén violando las licencias propietarias de otros programas como WhatsApp y WeChat.
- Las versiones de la aplicación para Android e iOS no están disponibles para su descarga pública; de hecho, prácticamente la única forma de obtenerla es usando un dispositivo registrado en un servicio MDM vinculado a una cuenta de Apple Business Manager o Google Enterprise.
- Según la foto de la pantalla de Waltz, es probable que TM SGNL sea una versión de Signal ligeramente modificada. El nombre de la aplicación ha cambiado de "Signal" a "TM SGNL" (por eso la pantalla de Waltz dice "Verifica tu PIN de TM SGNL" en lugar de "Verifica tu PIN de Signal").
- Es probable que se ejecute un código adicional cada vez que se envía o recibe un mensaje, el cual reenvía la versión de texto plano de ese mensaje al "archivo corporativo", como lo llama la empresa.
- La administración Trump está usando esta aplicación (no aprobada para información clasificada) para hablar de información clasificada, y cómo probablemente estén gestionando su flota de iPhones.
- El código fuente de Android incluye una carpeta .git completa, con un historial completo de Git y múltiples ramas y etiquetas, todo lo cual he subido a GitHub. Se puede ver exactamente quién contribuyó con qué código.
- El código fuente contiene credenciales codificadas y otras vulnerabilidades.
- Finalmente, comparte un PDF y un video que detallan, entre otras cosas, dónde se pueden almacenar los registros de chat.
Fuente: Micah Lee