WhatsApp es sin duda el programa de mensajería más utilizado en España. Por ello cuando hablamos de algún fallo de seguridad es más que importante para los usuarios. Hoy nos hacemos eco de una revelación sobre este programa relacionado con los chats grupales. Concretamente un usuario ajeno podría leer en secreto estos grupos pese a que estén cifrados de extremo a extremo. Un fallo alarmante para muchos usuarios.
Espiar un grupo de WhatsApp
El objetivo principal de tener un cifrado de extremo a extremo es dejar de confiar en los servidores intermedios de tal manera que nadie, ni siquiera la empresa o el servidor que transmite los datos, puede descifrar los mensajes o abusar de su posición centralizada para manipular el servicio.
En otras palabras, si tenemos en cuenta el peor de los casos, un empleado corrupto de la empresa no debería poder espiar la comunicación cifrada de extremo a extremo de ninguna manera.
Esta fue una novedad que como sabemos introdujo WhatsApp. Algo que anteriormente no estaba implantado y que era muy demandado por muchos usuarios.
Sin embargo, hasta ahora, incluso los populares servicios de mensajería cifrados de extremo a extremo, como WhatsApp, Threema y Signal, no han logrado completamente el sistema de conocimiento cero.
Fallo descubierto
Investigadores de la Ruhr-Universität Bochum (RUB) en Alemania han descubierto que cualquiera que controle los servidores de WhatsApp o Signal podría agregar miembros nuevos de manera encubierta a cualquier grupo privado, lo que les permite espiar las conversaciones grupales, incluso sin el permiso del administrador.
Según explicaron los investigadores en una comunicación, el servidor desempeña un papel limitado. En el caso de los chats con varios usuarios (cualquier grupo), el rol de los servidores aumenta para administrar todo el proceso.
Ahí es donde reside el problema, es decir, confiar en los servidores de la empresa para administrar a los miembros del grupo (que finalmente tienen acceso total a la conversación grupal) y sus acciones.
Como explican desde la RUB, tanto Signal como WhatsApp no autentican correctamente a quien está agregando un nuevo miembro del grupo. Por ello es posible que una persona no autorizada, no un administrador de grupo o incluso un miembro del grupo, agregue a alguien al chat grupal.
Silencioso
Lo que es más significativo aún es que al agregar a un nuevo miembro al grupo, no aparece en el chat. Es decir, los usuarios legítimos del mismo no se darían cuenta de que ha entrado otra persona.
Según los investigadores, un empleado corrupto o administrador con acceso al servidor podría manipular (o bloquear) los mensajes de administración de grupo que se supone que alertan a los miembros del grupo de un nuevo miembro.
Los investigadores también recomendaron a las empresas que solucionen el problema. Simplemente tienen que agregar un mecanismo de autenticación. Así se aseguran de que los mensajes de administración de grupo “firmados” provengan solo del administrador del grupo.
En definitiva, los grupos de WhatsApp no son tan seguros como podamos imaginar pese al cifrado de extremo a extremo. Aun así, está claro que salvo que estemos en un grupo con gente muy selecta y que alguien tenga interés en espiar, no nos va a afectar.
Fuente:https://www.redeszone.net/2018/01/11/error-whatsapp-podria-permitir-espiar-grupos-cifrados/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad