Las fallas de seguridad de WhatsApp podrían permitir que los invitados no invitados se deslizaran en sus chats grupales privados

WhatsApp demandó por la política de intercambio de datos
Los investigadores descubrieron fallas de seguridad en WhatsApp que podrían permitir a las personas deslizarse en secreto en grupos privados

Los investigadores de seguridad han descubierto fallas en la seguridad de WhatsApp que podrían permitir que cualquier persona agregue de forma encubierta personas no invitadas a cualquier chat grupal privado y encriptado. Según un grupo de criptógrafos de la Universidad Ruhr en Bochum, Alemania, cualquiera que controle el servidor de WhatsApp podría insertar fácilmente nuevos miembros en un grupo privado, sin el permiso del administrador del grupo.

Normalmente, solo un administrador de grupo puede invitar a nuevos miembros al grupo. Sin embargo, los investigadores encontraron que WhatsApp no tiene ningún mecanismo de autenticación si su servidor lo hace.

Una vez que se agrega la nueva persona al grupo, el teléfono de cada miembro del grupo de chat comparte automáticamente las claves secretas con esa persona, dándoles acceso completo a todos los mensajes encriptados futuros enviados en el chat. Los mensajes anteriores no pueden ser leídos por el nuevo miembro no invitado.

Todos los miembros del grupo generalmente reciben una notificación cuando un nuevo miembro se une. Sin embargo, los investigadores señalaron que cualquier persona con acceso al servidor podría cubrir sus pistas de varias maneras.

Estos incluyen el ajuste sigiloso del orden de los mensajes entregados a los miembros del grupo para evitar la detección o el bloqueo de mensajes al grupo, particularmente cuando un miembro comienza a hacer preguntas sobre el nuevo invitado no invitado.

"Las debilidades descritas permiten [al] atacante ... que controla el servidor de WhatsApp o puede romper la seguridad de la capa de transporte, para tomar el control total sobre un grupo", escribieron los investigadores su papel publicado a principios de este mes.

“Al ingresar al grupo, sin embargo, se dejan huellas, ya que esta operación se enumera en la interfaz gráfica de usuario. Por lo tanto, el servidor de WhatsApp puede usar el hecho de que puede reordenar y soltar los mensajes en el grupo de forma sigilosa. De este modo, puede almacenar en caché los mensajes enviados al grupo, leer primero su contenido y decidir en qué orden se entregan a los miembros.

"Además, el servidor de WhatsApp puede reenviar estos mensajes a los miembros individualmente, de modo que una combinación de mensajes elegida de manera sutil puede ayudarlo a cubrir las huellas".

Los investigadores presentaron sus hallazgos en la conferencia Real World Cryptosecurity en Zurich el miércoles (10 enero), informa Wired. También descubrieron fallas en otras aplicaciones de mensajería segura Signal y Threema también.

"La confidencialidad del grupo se rompe tan pronto como el miembro no invitado puede obtener todos los mensajes nuevos y leerlos", dice Paul Rösler, uno de los investigadores de la Universidad Ruhr. le dijo a Wired. “Si escucho que hay encriptación de extremo a extremo para los grupos y las comunicaciones bipartitas, eso significa que la adición de nuevos miembros debe protegerse. Y si no, el valor del cifrado es muy pequeño ".

Aún así, el servidor de WhatsApp debería ser explotado primero para tomar el control y llevar a cabo este ataque. Los servidores de la empresa pueden ser controlados por empleados, gobiernos con acceso legal o, potencialmente, hackers avanzados y sofisticados.

Los investigadores dijeron que notificaron a WhatsApp, que es propiedad de Facebook, de la falla en julio pasado.

Un portavoz de WhatsApp confirmó sus hallazgos con Wired, pero dijo que la plataforma está diseñada para notificar a los usuarios sobre cualquier nueva incorporación a un chat grupal o puede consultar "Información del grupo" para verificar lo mismo.

"Hemos examinado este problema con cuidado", dijo un portavoz de WhatsApp en un comunicado. “Se notifica a los miembros existentes cuando se agregan nuevas personas a un grupo de WhatsApp. Construimos WhatsApp para que los mensajes de grupo no puedan enviarse a un usuario oculto. La privacidad y seguridad de nuestros usuarios es increíblemente importante para WhatsApp. Es por eso que recopilamos muy poca información y todos los mensajes enviados en WhatsApp están cifrados de extremo a extremo ".

Articulo original

Publicación relacionada

Deje un comentario.

Este sitio usa Akismet para reducir el correo no deseado. Descubra cómo se procesan los datos de sus comentarios.