Falla de seguridad de Whatsapp permite espiar dentro de grupos de Chat



Cuando WhatsApp añadió encriptación en las conversaciones en billones de usuarios hace mas de dos años, el gigante de las comunicaciones móviles, elevó la barrera de la privacidad digital de las comunicaciones en todo el mundo. Pero uno de los elementos mas difíciles en la encriptación, e incluso en los grupos de conversación, ha sido siempre garantizar que los mensajes enviados lleguen a los destinatarios deseados, en lugar de un impostor  de un infiltrado.

De acuerdo al estudio de unos Investigadores de Criptografía alemanes, encontraron una falla en whatsapp que permite infiltrarse en grupos de WhatsApp, sin permiso del Administrador de Grupo.

En la conferencia de seguridad, Real World Crypto, realizada en Zurich, Suiza, un grupo de investigadores de la Universidad de Ruhr Bochum en Alemania, describieron una serie de fallas en mensajes encriptados de aplicaciones como Whatsapp, Signal y Threema.

Pero mientras en Signal y Threema, las fallas de seguridad parecen inofensivas, los investigadores indican que hay mas gaps de Seguridad en la aplicación de WhatsApp. Ellos dicen que cualquiera quien controle los servidores de WhatsApp, podrían sin esfuerzo insertar nuevas personas dentro de otros grupos, incluso sin permiso del administrador del grupo.

El ataque se aprovecha de un error bastante simple: si bien el administrador de un grupo es la única persona capaz de añadir nuevos miembros al grupo, el proceso de invitación no emplea ningún mecanismo de autenticación que los propios servidores de WhatsApp no puedan falsificar. “Basta” con tomar el control del servidor para otorgarse a uno mismo los permisos necesarios y agregar nuevos usuarios al grupo.

Así que cualquiera que pueda tener el control del un servidor de Whatsapp, como por ejemplo, Hackers Sofisticados, Personal de Whatsapp o gobiernos que quieran legalmente obligar a Whatsapp darle acceso a sus servidores, podrían acceder a esta información. El problema es que un servidor comprometido no debería acceder a las conversaciones siendo que estas están encriptadas de extremo a extremo. Solo los mismos integrantes de una conversación deberían ser capaces de leer sus conversaciones.

Particularmente los investigadores de la universidad alemana, no rompieron el sistema de encriptación que creo Whatsapp para acceder a este tipo de conversaciones, si no que logro saltarse el método de encriptación.

Siendo que este tipo de ataques es casi improbable que pase, se documenta de todas maneras para poder informar de que de igual manera podrían utilizarse mecanismos para poder espiar conversaciones ya sea legal o ilegalmente.


Fuente: https://www.wired.com/story/whatsapp-security-flaws-encryption-group-chats/