Cómo la Aplicación Imitación de Signal, TeleMessage, Fue Hackeada en 20 Minutos

La empresa detrás del clon de Signal, utilizado por al menos un funcionario del gobierno de Trump, fue vulnerada a principios de este mes. El hacker afirma que accedió gracias a una simple mala configuración.

Durante una reciente reunión del gabinete, el entonces asesor de seguridad nacional del presidente Donald Trump, Mike Waltz, parecía estar aburrido. Aparentemente sin notar al fotógrafo detrás de él, fue captado revisando clandestinamente sus mensajes de Signal debajo de la mesa.

Pero no estaba usando la aplicación oficial de Signal, que es ampliamente considerada el estándar de oro de las apps de mensajería cifrada. En realidad, estaba usando un clon llamado TeleMessage Signal, o TM SGNL. Esta app, desarrollada por TeleMessage (recientemente adquirida por Smarsh), funciona casi exactamente igual que Signal, excepto que archiva copias de todos los mensajes que pasan por ella, rompiendo así todas sus garantías de seguridad.

El exploit que utilizó el hacker fue increíblemente simple. En ese momento, se decidió no publicar los detalles porque sería muy fácil de replicar. Desde entonces, TeleMessage ha suspendido temporalmente todos sus servicios, razón por la cual WIRED ahora puede compartir cómo se llevó a cabo este hackeo sin poner en riesgo datos privados de nadie.

“Primero revisé el panel de administración en secure.telemessage.com y noté que estaban aplicando hash a las contraseñas con MD5 del lado del cliente, algo que anula los beneficios de seguridad del hashing, ya que el hash se convierte efectivamente en la contraseña”, dijo el hacker. (El hashing es una forma de ocultar criptográficamente una contraseña; y el MD5 es un algoritmo considerado débil e inseguro). Según informó Drop Site News, ese panel de administración habría expuesto correos electrónicos, contraseñas, nombres de usuario y números de teléfono al público.

El débil hashing de contraseñas y el hecho de que el sitio de TeleMessage estuviera programado con JSP —una tecnología de los años 2000 para crear aplicaciones web en Java— le dieron al hacker “la impresión de que su seguridad debía ser deficiente”. Con la esperanza de encontrar archivos JSP vulnerables, el hacker utilizó feroxbuster, una herramienta que permite encontrar rápidamente recursos accesibles públicamente en un sitio, en el dominio secure.telemessage.com.

También usó feroxbuster en archive.telemessage.com, otro dominio de TeleMessage, donde encontró una URL vulnerable que terminaba en /heapdump.

Al acceder a esa URL, el servidor respondió con un heap dump de Java — un archivo de aproximadamente 150 MB que contenía una instantánea de la memoria del servidor en ese momento.

El hacker explicó que “sabía por experiencia previa que los heap dumps de servidores web pueden contener los ‘cuerpos’ de las solicitudes HTTP”, lo cual podría incluir credenciales de acceso de los usuarios. Y en el caso de TM SGNL, sí lo incluía. Al descargar el heap dump y buscar la palabra “password”, el hacker pudo ver nombres de usuario y contraseñas de usuarios aleatorios.