Encuentran nuevos problemas de seguridad en WhatsApp

Antonio José Ruiz
No es la primera vez que el servicio de mensajería móvil más famoso del mundo sufre fallos de seguridad. WhatsApp Inc. cuenta con la friolera de 300 millones de usuarios que mandan a diario millones de mensajes de texto, y no solo de texto s no también fotos adjuntas, documentos o vídeos. El pasado mes de Julio, la empresa hacía público a través de su twitter el récord de mensajes enviados en un solo día hasta la fecha, nada más y nada menos que 27.000 millones de mensajes. Pero esa cantidad ingente de mensajes y datos no están del todo seguros.

Muchos de estos usuarios ya se han visto afectados por otros fallos de seguridad en el pasado. Recordemos que incluso la propia Apple retiró la aplicación de su App Store debido a que consideraban haber descubierto algún tipo de vulnerabilidad grave que podría comprometer los datos de los usuarios. Hoy, nos informan de dos nuevos fallos de seguridad descubiertos en Xnyhps.

Ambos problemas de seguridad tienen el mismo error, no utilizar claves diferentes para el envío y la recepción de mensajes, es decir el algoritmo RC4 que cifra los mensajes usa la misma clave. Este hecho permite que se pueda llegar a obtener la clave y hacerse con la información, en este caso nuestros mensajes.

Además de esto, de igual modo se repite la misma clave para el código de autenticación y verificación de mensajes, el llamado HMAC, que se asegura de que el mensaje no se haya modificado en el transcurso del envío hacia el destinatario. El problema está en que al usar siempre el mismo código, un atacante situado entre nosotros y los servidores de WhatsApp puede interferir y conseguir nuestros mensajes, incluso modificarlos y volverlos a enviar sin que quede constancia alguna.

Algunos fallos que WhatsApp aún tiene que solucionar

  • Los mensajes que enviamos y recibimos con el servicio de mensajería, aunque los limpiemos o borremos, quedan almacenados en una base de datos de la tarjeta Micro SD del terminal. Y aunque la tarjeta se supone cifrada, existe un código y diferentes tipos de software que pueden rescatar esos mensajes. Así lo indica Javier Morán, coordinador técnico del Centro de Seguridad TIC de la comunidad Valenciana.
  • Además, se sabe que la clave de cifrado de la toda la información que la aplicación de mensajería guarda en la memoria del teléfono, es la misma para todos los dispositivos (salvando a la Blackberry).
  • A esto también le añadimos que la propia aplicación hace su propia copia de seguridad en la base de datos interna del dispositivo pasadas 24 horas, por lo que desde esa misma base de datos se pueden recuperar conversaciones que hayamos limpiado.
En definitiva parace que seguimos estando expuestos a los fallos de seguridad del mayor servicio de mensajería móvil actual. Esperemos que al menos tomen nota de los agujeros que se van descubriendo en sus sistemas de cifrado, para que de este modo se vayan solucionando y mejorando en próximas actualizaciones de la aplicación.
Fuente: Xnyhps