Contratando ahora: ¿Eres un ingeniero TI motivado y con ganas de trabajar?

Blog

  • Home
  • Mobile
  • Seguridad informática: Vulnerabilidades en Whatsapp

Seguridad informática: Vulnerabilidades en Whatsapp

Protection network security computer and safe your data concept, Businessman holding shield protect icon
Mobile / Seguridad TI

Seguridad informática: Vulnerabilidades en Whatsapp

Bitsuser
enero 24, 2018
57 views
0 Comment

Seguridad informática: Vulnerabilidades en Whatsapp

Millones de personas confían en el cifrado de extremo a extremo de WhatsApp. Pero los investigadores de seguridad dicen que una falla podría poner algunas conversaciones grupales en riesgo de infiltración.

HOTLITTLEPOTATO
Cuando WhatsApp agregó el cifrado de extremo a extremo a cada conversación para sus mil millones de usuarios hace dos años, el gigante de la mensajería móvil elevó significativamente la barrera de la privacidad de las comunicaciones digitales en todo el mundo.

Pero uno de los elementos engañosos de la encriptación, e incluso más complicado en una configuración de chat grupal, siempre ha sido garantizar que una conversación segura llegue solo a la audiencia deseada, en lugar de a algún impostor o infiltrador.

Y según una nueva investigación de un equipo de criptógrafos alemanes, las fallas en WhatsApp hacen que infiltrarse en los chats grupales de la aplicación sea mucho más fácil de lo que debería ser posible.

En la conferencia de seguridad Real World Crypto realizada el miércoles en Zúrich, Suiza, un grupo de investigadores de la Universidad Ruhr Bochum en Alemania planean describir una serie de fallas en las aplicaciones de mensajería cifrada, incluidas WhatsApp, Signal y Threema.

El equipo argumenta que sus hallazgos socavan las afirmaciones de seguridad de cada aplicación para conversaciones grupales en varias personas en distintos grados.

Pero mientras que los errores Signal y Threema encontraron relativamente inofensivos, los investigadores descubrieron brechas mucho más significativas en la seguridad de WhatsApp: dicen que cualquiera que controle los servidores de WhatsApp podría insertar fácilmente nuevas personas en un grupo privado, incluso sin el permiso del administrador. que ostensiblemente controla el acceso a esa conversación.

“Es solo un error total”. No hay excusa “.

Data protection and cyber security concept

 

MATTHEW GREEN, JOHNS HOPKINS UNIVERSITY

“La confidencialidad del grupo se rompe tan pronto como el miembro no invitado puede obtener todos los mensajes nuevos y leerlos”, dice Paul Rösler, uno de los investigadores de la Universidad del Ruhr que es coautor de un documento sobre las vulnerabilidades de mensajería grupal.

“Si escucho que hay un cifrado de extremo a extremo para ambos grupos y las comunicaciones de dos partes, eso significa que se debe proteger contra la adición de nuevos miembros. Y si no, el valor del cifrado es muy poco”.

También puede interesarle: La transformación digital se trata del cómo, no del qué

Que cualquier espía pueda tener que controlar el servidor de WhatsApp limita el método de espionaje a piratas informáticos sofisticados que podrían comprometer a esos servidores, empleados de WhatsApp o gobiernos que legalmente obligan a WhatsApp a darles acceso.

Pero la premisa de la denominada encriptación de extremo a extremo siempre ha sido que incluso un servidor comprometido no debería exponer secretos. Solo las personas en una conversación deberían poder leer los mensajes de WhatsApp, no los servidores mismos.

“Si escucho que hay un cifrado de extremo a extremo para ambos grupos y las comunicaciones de dos partes, eso significa que se debe proteger contra la adición de nuevos miembros”. PAUL RÖSLER, RUHR UNIVERSITY

“Si construyes un sistema donde todo se reduce a confiar en el servidor, también puedes prescindir de toda la complejidad y olvidarte del cifrado de extremo a extremo”, dice Matthew Green, profesor de criptografía de la Universidad Johns Hopkins que revisó el Ruhr. Trabajo de investigadores universitarios. “Es un error total. No hay excusa”.

Léase también: La neutralidad de la red

Amenaza grupal

Los investigadores alemanes dicen que su ataque de WhatsApp aprovecha un error simple. Solo un administrador de un grupo de WhatsApp puede invitar a nuevos miembros, pero WhatsApp no ​​usa ningún mecanismo de autenticación para esa invitación que sus propios servidores no puedan falsificar.

Entonces el servidor simplemente puede agregar un nuevo miembro a un grupo sin interacción por parte del administrador, y el teléfono de cada participante en el grupo comparte automáticamente las claves secretas con ese nuevo miembro, dándole acceso completo a cualquier futuro mensajes. (Los mensajes enviados antes de una invitación ilícita, afortunadamente, aún no se pueden descifrar).

Todos en el grupo verían un mensaje de que un nuevo miembro se había unido, aparentemente por invitación del administrador involuntario. Si el administrador está observando de cerca, él o ella podría advertir a los miembros previstos del grupo sobre el intruso y el mensaje de invitación falsificado.

Pero los investigadores de la Universidad de Ruhr y Johns Hopkins ‘Green señalan varios trucos que podrían usarse para retrasar la detección.

Una vez que un atacante con control del servidor de WhatsApp tenía acceso a la conversación, también podía usar el servidor para bloquear selectivamente cualquier mensaje en el grupo, incluidos los que hacen preguntas o advertencias sobre el nuevo participante.

“Puede guardar en caché todo el mensaje y luego decidir qué se envía a quién y qué no”, dice Rösler. Y en grupos con administradores múltiples, el servidor secuestrado podía falsificar diferentes mensajes para cada administrador, haciendo que pareciera que otro había invitado al oculista, para que ninguno generará una alarma. Incluso podría evitar que un administrador intente eliminar al oculista del grupo si lo descubre.

Algunos límites

En una llamada telefónica con WIRED, un vocero de WhatsApp confirmó los hallazgos de los investigadores, pero enfatizó que nadie puede agregar secretamente un nuevo miembro a un grupo; se notifica que un nuevo miembro desconocido se ha unido al grupo.

El miembro del personal agregó que si un administrador detecta una nueva adición sospechosa a un grupo, siempre puede decirle a otros usuarios a través de otro grupo, o en mensajes de uno a uno.

Y el vocero de WhatsApp también notó que prevenir el ataque de los investigadores de la Universidad de Ruhr probablemente rompería una característica popular de WhatsApp conocida como un “enlace de invitación de grupo” que permite a cualquier persona unirse a un grupo simplemente haciendo clic en una URL.

“Hemos analizado este tema cuidadosamente”, escribió un vocero de WhatsApp en un correo electrónico. “Los miembros actuales reciben una notificación cuando se agregan nuevas personas a un grupo de WhatsApp.

Creamos WhatsApp para que los mensajes de grupo no puedan enviarse a un usuario oculto.

La privacidad y seguridad de nuestros usuarios es increíblemente importante para WhatsApp. Es por eso que recopilamos muy poca información y todos los mensajes enviados en WhatsApp están encriptados de extremo a extremo “.

Para ser justos, esta técnica no sería una estrategia sigilosa a largo plazo para el espionaje gubernamental. Tarde o temprano, los usuarios notarían que extraños inesperados aparecían en sus chats.

Pero esa posibilidad de detección no es una solución adecuada para el problema subyacente de WhatsApp, argumenta John Hopkins ‘Green. “Eso es como dejar la puerta de entrada de un banco desbloqueado y luego decir que nadie lo va a robar porque hay una cámara de seguridad”, dice Green. “Es tonto.”

Los investigadores de la Universidad de Ruhr dicen que alertaron a WhatsApp sobre el problema de la seguridad de los mensajes grupales en julio pasado.

En respuesta a su informe, el personal de WhatsApp dice que corrigió un problema con una característica de su cifrado que hacía más difícil descifrar los mensajes futuros, incluso después de que un atacante obtuviera una clave de descifrado.

Pero les dijeron a los investigadores que el error de invitación grupal que encontraron era simplemente “teórico” y ni siquiera calificaban para el llamado programa de recompensas de errores administrado por Facebook, el propietario corporativo de WhatsApp, en el que se les paga a los investigadores de seguridad por informar fallas en el software de la compañía.

Para algunos de los usuarios de WhatsApp, lo que está en juego con la seguridad de la aplicación podría ser alto. El conveniente sistema de mensajes grupales de WhatsApp, en combinación con sus promesas de cifrado, lo han convertido en una herramienta popular para las “redes de susurros” de organizaciones de base en torno a temas delicados o peligrosos.

Las víctimas de abuso sexual y acoso lo han usado para organizar la campaña contra los abusadores, por ejemplo. También lo han hecho políticos con información privilegiada y los asediados Cascos Blancos sirios, brigadas de rescate voluntario en Siria, que a menudo son blanco del régimen gobernante.

Pero la seguridad de mala calidad en torno a las charlas grupales de WhatsApp debería hacer que sus usuarios más sensibles desconfíen de los intrusos, argumenta Rösler. Si WhatsApp cumpliera con una solicitud del gobierno, en los EE. UU. O en el extranjero, los agentes podrían unirse a cualquier grupo privado y escuchar.

 

Problemas más pequeños

Los investigadores desenterraron fallas menos serias en las aplicaciones de mensajería segura más especializadas, Signal y Threema, también. Advierten que Signal permite el mismo ataque grupal de chat que WhatsApp, permitiendo que espías no invitados se unan a grupos.

Pero en el caso de Signal, ese oculista no solo tendría que controlar el servidor de señal, sino también conocer un número virtualmente indescifrable llamado ID de grupo.

Eso básicamente bloquea el ataque, a menos que la identificación del grupo se pueda obtener de uno de los teléfonos del miembro del grupo, en cuyo caso el grupo probablemente ya esté comprometido. Los investigadores dicen que Open Whisper Systems, la organización sin fines de lucro que opera y mantiene a Signal, respondió a su trabajo, diciendo que actualmente está rediseñando cómo Signal maneja los mensajes en grupo. Open Whisper Systems declinó comentar sobre el registro a WIRED sobre los hallazgos de los investigadores del Ruhr.

Es solo un error total. No hay excusa “.

MATTHEW GREEN, JOHNS HOPKINS UNIVERSITY

Para Threema, los investigadores encontraron errores aún más pequeños: un atacante que controla el servidor puede reproducir mensajes o volver a agregar usuarios a un grupo que se eliminó. Los investigadores dicen que Threema respondió a sus hallazgos con una solución en una versión anterior de su software.

En cuanto a WhatsApp, los investigadores escriben que la compañía podría arreglar su error de chat de grupo más flagrante al agregar un mecanismo de autenticación para nuevas invitaciones grupales.

Usar una clave secreta que solo el administrador posee para firmar esas invitaciones podría permitir que el administrador demuestre su identidad y evitar las invitaciones falsificadas, bloqueando a los invitados no invitados. WhatsApp aún tiene que seguir su consejo.

 

Hasta que lo hagan, los usuarios más sensibles de WhatsApp deberían considerar quedarse con las conversaciones individuales o cambiar a una aplicación de mensajería grupal más segura como Signal. De lo contrario, sería prudente vigilar a los nuevos participantes que se deslizan en sus conversaciones privadas. Hasta que un administrador respalde activamente a ese recién llegado, hay una pequeña posibilidad de que él o ella simplemente sea algo más que un nuevo amigo.

ANDY GREENBERG. (2018). WHATSAPP SECURITY FLAWS COULD ALLOW SNOOPS TO SLIDE INTO GROUP CHATS. Enero 24, 2018, de Wired Sitio web: https://www.wired.com/story/whatsapp-security-flaws-encryption-group-chats?mbid=nl_011018_daily_list3_p4

Etiqueta:

Seguridad informática: Vulnerabilidades en Whatsapp

Articulos Reciente

Archivos

Contáctanos

BUSCAR

ENTRADAS RECIENTES

TAG CLOUD

balance general beneficios Calidad capital Centro de Datos México Cisco clientes Comunicacion control Crecimiento Data Center Data Center Chihuahua Empresa empresas ERP flujo-de-efectivo Gestión Herramienta Herramientas Implementación Informacion Infraestructura ingresos Internet Inventarios Negocio Optimizacion Procesos productividad Proyecto pymes redes rentabilidad SAP SAP-Business-One Seguridad servicio sistema sistema-ERP software strategic tecnologia TI Ventas virtual data center

Evalúe el potencial de su negocio y encuentre oportunidades para un mayor éxito

Logo-bits (1) (1)
Empresa de Tecnología en redes informáticas, Conoce nuestro curriculum corporativo para conocer nuestra experiencia con más de 15 años con casos de éxito en la industria tecnológica.
ventas@bits.com.mx
614 433 3867
www.bits.com.mx
descarga-removebg-preview 3
Mobility_Expert_badge
©BITS 2022 Todos los Derechos Reservados. Marketing por Seedup