O Signal é um popular aplicativo de mensagens criptografadas. Ele corrigiu recentemente uma falha que deixava as chamadas de áudio dos usuários do Android vulneráveis ​​a ataques mal-intencionados. Basicamente, o bug deixava alguém atender chamadas por você — e isso poderia acontecer sem que você soubesse.

A equipe do Project Zero do Google relatou o bug em 27 de setembro, e o Signal o corrigiu na versão 4.47.7, lançada na semana passada.

De acordo com o relatório, a falha foi um erro lógico no cliente Android. Existe um método chamado “handle CallConnected”, que permite que uma chamada conclua a conexão. No uso normal, ele é empregado quando você aceita uma chamada e quando o dispositivo de quem está ligando é notificado de que você aceitou a chamada. Com um cliente modificado, um agente mal-intencionado pode “enviar a mensagem de ‘conexão’ a um dispositivo chamado quando uma ligação está em andamento, mas ainda não foi aceita pelo usuário”, escreveu a pesquisadora do Projeto Zero Natalie Silvanovich no relatório. “Isso faz com que a chamada seja atendida, mesmo que o usuário não tenha interagido com o dispositivo”.

Esse bug em particular é um pouco semelhante à falha do FaceTime que surgiu no início deste ano, na qual os usuários podiam espionar outros antes que uma chamada fosse atendida. Ambos envolvem enganar os programas para que pensem que uma chamada foi aceita quando não foi. Ao contrário do bug do FaceTime, no entanto, a falha do Signal é limitada a chamadas de áudio — felizmente, o Signal exige que os usuários ativem manualmente o vídeo.

Como aponta o The Next Web, a versão iOS do Signal tem um problema semelhante ao aplicativo Android; no entanto, uma peculiaridade da interface do usuário impede que seja explorado da mesma maneira. Ainda assim, Silvanovich recomenda “melhorar a lógica nos dois clientes, pois é possível que o problema da interface do usuário não ocorra em todas as situações”. No momento dessa publicação, uma atualização do iOS ainda não tinha sido lançada, mas os usuários do Signal no Android devem se certificar de que estão executando a versão mais atual do aplicativo.