El error de WhatsApp podría permitir que los "posibles atacantes" espíen en grupos encriptados

El error de WhatsApp podría permitir que los "posibles atacantes" espíen en grupos encriptados

Una revelación más dramática de 2018: un extraño puede escuchar en secreto tus chats grupales privados de extremo a extremo en las aplicaciones de mensajería de WhatsApp y de Signal.
Teniendo en cuenta la protección contra tres tipos de atacantes: usuario malintencionado, atacante de red y servidor malicioso, un protocolo de encriptación de extremo a extremo desempeña un papel vital en la seguridad de los servicios de mensajería instantánea.
El objetivo principal de tener un cifrado de extremo a extremo es dejar de confiar en los servidores intermedios de tal manera que nadie, ni siquiera la empresa o el servidor que transmite los datos, puede descifrar los mensajes o abusar de su posición centralizada para manipular el Servicio.
En pocas palabras, asumiendo el peor de los casos, un empleado corrupto de la empresa no debería poder espiar la comunicación encriptada de extremo a extremo de ninguna manera.
Sin embargo, hasta ahora, incluso los populares servicios de mensajería cifrados de extremo a extremo, como WhatsApp, Threema y Signal, no han logrado completamente el sistema de conocimiento cero.
Investigadores de la Ruhr-Universität Bochum (RUB) en Alemania descubrieron que cualquiera que controle los servidores de WhatsApp / Signal puede agregar miembros nuevos de manera encubierta a cualquier grupo privado, lo que les permite espiar las conversaciones grupales, incluso sin el permiso del administrador.
Según lo descrito por los investigadores, en la comunicación por pares (cuando solo dos usuarios se comunican entre sí), el servidor desempeña un papel limitado, pero en el caso de los chats multiusuario (chat grupal donde se transmiten mensajes cifrados a muchos usuarios), el rol de los servidores aumentan para administrar todo el proceso.
Ahí es donde reside el problema, es decir, confiar en los servidores de la empresa para administrar a los miembros del grupo (que finalmente tienen acceso total a la conversación grupal) y sus acciones.
Como se explica en el nuevo documento RUB, titulado "Más es menos: sobre la seguridad integral de los chats grupales en Signal, WhatsApp y Threema", ya que tanto Signal como WhatsApp no autentican correctamente a quien está agregando un nuevo miembro del grupo, es posible que una persona no autorizada, no un administrador de grupo o incluso un miembro del grupo, agregue a alguien al chat grupal.
¿Qué es más? Si se está preguntando que agregar un nuevo miembro al grupo mostrará una notificación visual a otros miembros, no es el caso.
Según los investigadores, un empleado corrupto o administrador con acceso al servidor podría manipular (o bloquear) los mensajes de administración de grupo que se supone que alertan a los miembros del grupo de un nuevo miembro.

"Las debilidades descritas permiten al atacante A, que controla el servidor de WhatsApp o puede romper la seguridad de la capa de transporte, tomar el control total de un grupo. Sin embargo, ingresar al grupo deja huellas ya que esta operación aparece en la interfaz gráfica de usuario. por lo tanto, el servidor puede usar el hecho de que puede reordenar y soltar sigilosamente mensajes en el grupo ", dice el documento.
"De esta manera puede almacenar en caché los mensajes enviados al grupo, leer su contenido primero y decidir en qué orden se entregan a los miembros. Además, el servidor de WhatsApp puede reenviar estos mensajes a los miembros individualmente de modo que una combinación sutilmente elegida de mensajes pueda ayudar para cubrir las huellas ".

WhatsApp ha reconocido el problema, pero argumentó que si se agrega un nuevo miembro a un grupo, digamos que cualquier persona, los miembros del grupo recibirán una notificación segura.

"Hemos examinado este tema con atención. Los miembros actuales reciben notificaciones cuando se agregan nuevas personas a un grupo de WhatsApp. Creamos WhatsApp para que los mensajes grupales no puedan enviarse a un usuario oculto", le dijo un portavoz de WhatsApp a Wired.
"La privacidad y seguridad de nuestros usuarios es increíblemente importante para WhatsApp. Es por eso que recopilamos muy poca información y todos los mensajes enviados en WhatsApp están encriptados de extremo a extremo".

Pero si no eres parte de un grupo con miembros muy seleccionados, estoy seguro de que muchos de ustedes ignorarían relativamente tales notificaciones fácilmente.
Los investigadores también recomendaron a las empresas que solucionen el problema simplemente agregando un mecanismo de autenticación para asegurarse de que los mensajes de administración de grupo "firmados" provengan solo del administrador del grupo.
Sin embargo, este ataque no es fácil (servicios de excepción bajo presión legal) para ejecutar, por lo que los usuarios no deberían preocuparse por ello.

Read more