Este post detalla el descubrimiento y la publicación del código fuente de TM SGNL, una aplicación no oficial de Signal utilizada por funcionarios de Trump como Mike Waltz y JD Vance. El código, inicialmente compartido de forma privada y posteriormente enlazado públicamente en el sitio web de TeleMessage, está licenciado bajo GPLv3, lo que permite su análisis y modificación. El autor ha replicado el código en GitHub y está compartiendo hallazgos iniciales, incluyendo detalles sobre el equipo de desarrollo y posibles vulnerabilidades.
El núcleo del contenido gira en torno al descubrimiento y análisis del código fuente de una aplicación no oficial de Signal, TM SGNL, utilizada por funcionarios de Trump. Este descubrimiento tiene implicaciones significativas debido al uso potencial de la aplicación para comunicaciones sensibles, incluida información clasificada y discusiones relacionadas con actividades potencialmente ilegales.
Inicialmente, el autor publicó un análisis de información disponible públicamente sobre TM SGNL. Posteriormente, recibió una URL para el código fuente de Android, que fue confirmada posteriormente por múltiples fuentes, incluido el criptógrafo Matthew Green. Este código fuente, disponible en https://www.telemessage.com/wp-content/uploads/2024/12/Signal.zip, permitió una investigación más profunda de los entresijos de la aplicación.
Una investigación adicional reveló la existencia de código fuente tanto para las versiones de Android como de iOS de TM SGNL. La versión de iOS se encontró en https://telemessage.com/wp-content/uploads/2024/12/Signal-iOS-main.zip. Este descubrimiento fue posible gracias a un usuario en Mastodon, lj·rk, que encontró enlaces públicos al código en el sitio web de TeleMessage.
El código fuente tiene licencia GPLv3, lo que otorga a cualquier persona el derecho a acceder, analizar, modificar y redistribuirlo, siempre que cualquier trabajo derivado también se publique bajo la misma licencia. Esta naturaleza de código abierto permite el escrutinio público y la posible identificación de vulnerabilidades.
Dada la naturaleza sensible del uso de la aplicación por parte de funcionarios de alto rango, el autor decidió reflejar el código fuente en GitHub para facilitar un acceso y análisis más amplios. Esta decisión fue impulsada por la noticiabilidad de la situación, destacando el potencial de que la aplicación se utilizara para discutir información clasificada y planificar actividades potencialmente ilegales.
El autor se ha centrado principalmente en analizar la versión de Android del código. Los hallazgos preliminares incluyen la presencia de una carpeta `.git` completa, que proporciona un historial detallado de Git con múltiples ramas y etiquetas. Este historial permite rastrear las contribuciones de desarrolladores individuales, incluidas sus direcciones de correo electrónico (por ejemplo, moti@telemessage.com, shilo@telemessage.com).
Desafortunadamente, la versión de iOS carece de una carpeta `.git`, lo que impide un nivel similar de análisis histórico. El espejo del autor del código iOS solo contiene un solo commit.
El origen de Git para el código de Android se encontró en https://TMGitlab.telemessage.co.il/client/Android/signalarchiver.git. Esto apunta a un servidor GitLab privado alojado en un subdominio de telemessage.co.il, un dominio israelí. El servidor no es accesible públicamente, lo que indica que los desarrolladores probablemente acceden a él a través de una red privada.
El análisis inicial del autor también ha descubierto credenciales codificadas y otras vulnerabilidades dentro del código fuente. Esto sugiere posibles fallos de seguridad que podrían ser explotados.
El código fuente no oficial de la aplicación “TM SGNL”, supuestamente utilizada por funcionarios de Trump, ha sido publicado para Android e iOS. Este código, con licencia GPLv3, revela detalles del desarrollador a través del historial de Git (solo Android), credenciales codificadas y posibles vulnerabilidades. El hallazgo suscita preocupación sobre las prácticas de comunicación segura en una administración anterior e impulsa una mayor investigación sobre la funcionalidad e implicaciones de la aplicación.
Leave a Reply