WhatsApp: una falla permitiría espiar chats grupales
Sábado 13 de enero de 2018 | 05:00hs.
De acuerdo con un equipo de criptógrafos alemanes, Una falla de seguridad en WhatsApp deja la puerta abierta para que un intruso se infiltre en un grupo de chat grupal, al tener el control de los servidores del servicio de mensajería.
En el marco de la conferencia de seguridad Real World Crypto, que comenzó el jueves en la ciudad suiza de Zurich, investigadores de la Universidad de Ruhr, presentaron un estudio sobre las vulnerabilidades en las aplicaciones de mensajería con protocolo de encriptación (incluyendo a WhatsApp, Signal y Threema). Allí, detallaron que el mecanismo de ataque al servicio de mensajería más popular del mundo se aprovecha de “un simple error”.
Solo el administrador de un grupo de WhatsApp puede invitar a nuevos miembros. Sin embargo, explicaron que este servicio no usa ningún mecanismo para que esa invitación no pueda ser falsificada por sus propios servidores.
Al tomar control del servidor, se puede agregar un nuevo miembro a un grupo sin interacción por parte del administrador, y luego el intruso puede tener acceso completo a cualquier mensaje futuro (los mensajes enviados antes de una invitación no se pueden ver), consideraron los criptógrafos.
En declaraciones a Wired, Paul Rösler, uno de los investigadores alemanes, reveló: “La confidencialidad del grupo se rompe tan pronto como el miembro no-invitado puede acceder a todos los nuevos mensajes y leerlos”. Rösler es coautor de un documento sobre las vulnerabilidades de la mensajería grupal.
La compañía, en tanto, sostiene que implementa el cifrado de extremo a extremo en su aplicación, lo que significa que solo el emisor y el receptor pueden leer los mensajes enviados, “y que nadie más, ni siquiera WhatsApp, lo puede hacer”.
Asimismo, establece que los mensajes “se aseguran con un candado y solo el emisor y el receptor cuentan con el código/llave especial” para abrirlos y leerlos.
Un vocero de WhatsApp, en tanto, dijo: “La privacidad y la seguridad de nuestros usuarios es increíblemente importante para nosotros. Es por eso que recopilamos muy poca información y todos los mensajes enviados están encriptados de extremo a extremo”.
“Analizamos este tema de forma muy cuidadosa”, indicó otro vocero de WhatsApp en un mail a Wired, y sostuvo que “los miembros actuales reciben una notificación cuando se agregan nuevas personas a un grupo de chat”.
No sin cierto enojo, en respuesta a su reporte, el personal de WhatsApp les dijo a los investigadores que el error que encontraron ni siquiera calificaba para el llamado programa de recompensa de errores administrado por Facebook, en el que se les paga a los investigadores de ciberseguridad por informar sobre fallas de software de la empresa.
En el marco de la conferencia de seguridad Real World Crypto, que comenzó el jueves en la ciudad suiza de Zurich, investigadores de la Universidad de Ruhr, presentaron un estudio sobre las vulnerabilidades en las aplicaciones de mensajería con protocolo de encriptación (incluyendo a WhatsApp, Signal y Threema). Allí, detallaron que el mecanismo de ataque al servicio de mensajería más popular del mundo se aprovecha de “un simple error”.
Solo el administrador de un grupo de WhatsApp puede invitar a nuevos miembros. Sin embargo, explicaron que este servicio no usa ningún mecanismo para que esa invitación no pueda ser falsificada por sus propios servidores.
Al tomar control del servidor, se puede agregar un nuevo miembro a un grupo sin interacción por parte del administrador, y luego el intruso puede tener acceso completo a cualquier mensaje futuro (los mensajes enviados antes de una invitación no se pueden ver), consideraron los criptógrafos.
En declaraciones a Wired, Paul Rösler, uno de los investigadores alemanes, reveló: “La confidencialidad del grupo se rompe tan pronto como el miembro no-invitado puede acceder a todos los nuevos mensajes y leerlos”. Rösler es coautor de un documento sobre las vulnerabilidades de la mensajería grupal.
La compañía, en tanto, sostiene que implementa el cifrado de extremo a extremo en su aplicación, lo que significa que solo el emisor y el receptor pueden leer los mensajes enviados, “y que nadie más, ni siquiera WhatsApp, lo puede hacer”.
Asimismo, establece que los mensajes “se aseguran con un candado y solo el emisor y el receptor cuentan con el código/llave especial” para abrirlos y leerlos.
Un vocero de WhatsApp, en tanto, dijo: “La privacidad y la seguridad de nuestros usuarios es increíblemente importante para nosotros. Es por eso que recopilamos muy poca información y todos los mensajes enviados están encriptados de extremo a extremo”.
“Analizamos este tema de forma muy cuidadosa”, indicó otro vocero de WhatsApp en un mail a Wired, y sostuvo que “los miembros actuales reciben una notificación cuando se agregan nuevas personas a un grupo de chat”.
No sin cierto enojo, en respuesta a su reporte, el personal de WhatsApp les dijo a los investigadores que el error que encontraron ni siquiera calificaba para el llamado programa de recompensa de errores administrado por Facebook, en el que se les paga a los investigadores de ciberseguridad por informar sobre fallas de software de la empresa.
Si querés sugerir o corregir algo sobre esta nota hace click acá
Si tenés un dato que puede ser noticia contáctanos acá
