8 ago 2018

Vulnerabilidades en #WhatsApp permiten editar cualquier mensaje [Paper]

WhatsApp, que actualmente se encuentra probando la reproducción de vídeos en streaming dentro del propio chat al enviar enlaces, se está viendo afectada por una grave vulnerabilidad que abre la puerta a que cualquier persona pueda saltarse el cifrado de los mensajes y editar mensajes, pudiendo llevarnos a engaños, estafas o noticias falsas.

Así lo ha revelado la empresa de seguridad Check Point, con una vulnerabilidad que han bautizado como FakesApp, y que permite a un atacante modificar mensajes enviados en un grupo o una conversación privada. En concreto, la vulnerabilidad permite realizar tres ataques diferentes. La compañía ha emitido un vídeo donde podemos ver cómo funcionan.
  1. El primero consiste en que se puede editar el mensaje de una persona para hacer ver al receptor que el emisor ha escrito cosas que en realidad no ha dicho.
  2. El segundo permite citar un mensaje como respuesta a una conversación en grupo para que parezca que proviene de otro miembro del grupo, pero en realidad proviene de alguien que no forma parte de él, pudiendo dar a entender a los miembros que el link es de fiar cuando no lo es.
  3. El tercero y último permite enviar un mensaje a un miembro de un grupo para que parezca un mensaje grupal, pero en realidad sólo lo puede ver ese miembro. Sin embargo, la respuesta que escriba el receptor la podrán ver todos los miembros del grupo.
Es particularmente curioso que WhatsApp sea susceptible de que un atacante pueda editar los mensajes a placer, sobre todo cuando la aplicación lleva luchando varios meses contra la propagación de las noticias falsas, sobre todo cuando en la India ha habido hasta muertes por culpa de ellas.
Junto con ello, esta vulnerabilidad se hace todavía más grave cuando la aplicación de mensajería permite comunicarse con empresas, lo cual puede hacer que les lleguen datos falsos a los usuarios. Para paliar este efecto, la app está limitando a 5 personas o grupos el reenvío de mensajes tanto en Android, iOS y Web.
WhatsApp no ha parcheado de momento la vulnerabilidad. Check Point contactó con WhatsApp antes de hacerla pública siguiendo el proceso de Divulgación Responsable. Sin embargo, WhatsApp reconoció las vulnerabilidades, y explicó que forman parte de cómo tienen diseñado su framework, y están abiertos a una mayor explicación sobre las vulnerabilidades para arreglarlas. Estaremos atentos a futuras versiones para ver si consiguen solucionar este fallo.

Los investigadores afirmaron que les llamó la atención el cifrado usado por WhatsApp, y trataron de hacerle ingeniería inversa. Así, después de descifrarlo descubrieron que WhatsApp usa el protocolo protobuf2. Después, pasaron los datos de protobuf 2 a JSON para ver los parámetros que se envían y manipularlos.

Afirman que, una vez capturan el tráfico "simplemente se lo envían a la extensión web que han creado para descifrar todo el tráfico de WhatsApp". La compañía ha publicado la herramienta para ello en GitHub, y han detallado en su blog cómo se han conseguido saltar el cifrado usando para ello WhatsApp Web y las claves públicas y privadas que se generan con cada código QR. Además de descifrarlos, también pueden cifrarlos de nuevo a placer.
Desde Check Point nos aconsejan tener cuidado con el contenido que recibimos en WhatsApp, ya que la desinformación se propaga más rápido que la verdad, con vídeos y enlaces falsos y modificados para hacer creer al usuario determinadas ideas. Por ello, es importante verificar los hechos antes de compartir un contenido. Otra alternativa es utilizar aplicaciones que sí son seguras, como Telegram o Signal.

Fuente: Check Point

Suscríbete a nuestro Boletín

2 comentarios:

  1. A pesar que todo apuntaba que cuando Zuckerberg compró WhatApps, este iba a ser "más seguro", parece que no es así. Sin duda como se recomienda al final, si se busca seguridad lo mejor es usar Telegram

    ResponderBorrar
  2. No confió en WhatsApp pero estoy obligado a utilizarlo ya que mensajerías como telegram no gozan de mucha popularidad y así es difícil poder cambiar de app.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!