Las fallas de seguridad de WhatsApp podrían permitir que los invitados no invitados se deslizaran en sus chats grupales privados

WhatsApp demandó por la política de intercambio de datos
Los investigadores descubrieron fallas de seguridad en WhatsApp que podrían permitir a las personas deslizarse en secreto en grupos privados

Los investigadores de seguridad han descubierto fallas en la seguridad de WhatsApp que podrían permitir que cualquier persona agregue de forma encubierta personas no invitadas a cualquier chat grupal privado y encriptado. Según un grupo de criptógrafos de la Universidad Ruhr en Bochum, Alemania, cualquiera que controle el servidor de WhatsApp podría insertar fácilmente nuevos miembros en un grupo privado, sin el permiso del administrador del grupo.

Normalmente, solo un administrador de grupo puede invitar a nuevos miembros al grupo. Sin embargo, los investigadores encontraron que WhatsApp no tiene ningún mecanismo de autenticación si su servidor lo hace.

Una vez que se agrega la nueva persona al grupo, el teléfono de cada miembro del grupo de chat comparte automáticamente las claves secretas con esa persona, dándoles acceso completo a todos los mensajes encriptados futuros enviados en el chat. Los mensajes anteriores no pueden ser leídos por el nuevo miembro no invitado.

Todos los miembros del grupo generalmente reciben una notificación cuando un nuevo miembro se une. Sin embargo, los investigadores señalaron que cualquier persona con acceso al servidor podría cubrir sus pistas de varias maneras.

Estos incluyen el ajuste sigiloso del orden de los mensajes entregados a los miembros del grupo para evitar la detección o el bloqueo de mensajes al grupo, particularmente cuando un miembro comienza a hacer preguntas sobre el nuevo invitado no invitado.

"Las debilidades descritas permiten [al] atacante ... que controla el servidor de WhatsApp o puede romper la seguridad de la capa de transporte, para tomar el control total sobre un grupo", escribieron los investigadores su papel publicado a principios de este mes.

“Entering the group, however, leaves traces since this operation is listed in the graphical user interface. The WhatsApp server can therefore use the fact that it can stealthily reorder and drop messages in the group. Thereby it can cache sent messages to the group, read their content first and decide in which order they are delivered to the members.

“Additionally the WhatsApp server can forward these messages to the members individually such that a subtly chosen combination of messages can help it to cover the traces.”

Los investigadores presentaron sus hallazgos en la conferencia Real World Cryptosecurity en Zurich el miércoles (10 enero), informa Wired. También descubrieron fallas en otras aplicaciones de mensajería segura Signal y Threema también.

“The confidentiality of the group is broken as soon as the uninvited member can obtain all the new messages and read them,” says Paul Rösler, one of the Ruhr University researchers le dijo a Wired. “If I hear there’s end-to-end encryption for both groups and two-party communications, that means adding of new members should be protected against. And if not, the value of encryption is very little.”

Still, the WhatsApp server would have to first be exploited to take control over it and carry out this attack. The company’s servers can be controlled by employees, gobiernos con acceso legal o, potencialmente, hackers avanzados y sofisticados.

Los investigadores dijeron que notificaron a WhatsApp, que es propiedad de Facebook, de la falla en julio pasado.

A WhatsApp spokesman confirmed their findings with the Wired but said the platform is built to notify users of any new additions made to a group chat or can check “Group info” to verify the same.

“We’ve looked at this issue carefully,” a WhatsApp spokesman said in a statement. “Existing members are notified when new people are added to a WhatsApp group. We built WhatsApp so group messages cannot be sent to a hidden user. The privacy and security of our users is incredibly important to WhatsApp. It’s why we collect very little information and all messages sent on WhatsApp are end-to-end encrypted.”

Articulo original

Publicación relacionada

Deje un comentario.

Este sitio usa Akismet para reducir el correo no deseado. Descubra cómo se procesan los datos de sus comentarios.