Investigadores de la compañía Check Point descubrieron tres supuestos agujeros de seguridad. Solo uno fue corregido pero un vocero de Facebook negó las vulnerabilidades en declaraciones a la agencia Bloomberg.
La compañía israelí dijo que sus investigadores encontraron tres potenciales maneras de alterar las conversaciones. La vulnerabilidad puede ser explotada a través de tres diferentes métodos de ataque que involucran el uso de técnicas de ingeniería social para engañar al usuario final, explicaron los investigadores de CheckPoint.
- Uno usa la función de “quote” en una conversación grupal para cambiar la apariencia de la identidad de un remitente.
- Otro permite que un atacante cambie el texto de la respuesta de otra persona.
- Y el otro, que se ha solucionado, permitiría que una persona envíe un mensaje privado a otro participante del grupo disfrazado como un mensaje público para todos, por lo que cuando el individuo objetivo respondió, fue visible para todos en la conversación.
Las vulnerabilidades permitirían manipular mensajes enviados tanto de manera privada como a nivel de grupo. En caso de que un actor malintencionado aproveche estos fallos podría crear información falsa y crear fraudes, publicó BBC.
Durante una presentación que realizaron en la conferencia Black Hat, evento que se está llevando adelante desde el 3 al 8 de agosto en Las Vegas, Estados Unidos, los investigadores, Dikla Barda, Roman Zaikin, y Oded Vanunu, presentaron una herramienta utilizada como prueba de concepto.
“Revisamos cuidadosamente este problema hace un año y es falso sugerir que hay una vulnerabilidad con la seguridad que brindamos en WhatsApp”, dijo un portavoz de Facebook, propietario de WhatsApp, en un comunicado enviado por correo electrónico. “El escenario descrito aquí es simplemente el equivalente móvil de alterar las respuestas en un hilo de correo electrónico para que parezca algo que una persona no escribió. Debemos tener en cuenta que abordar las inquietudes planteadas por estos investigadores podría hacer que WhatsApp sea menos privado, como el almacenamiento de información sobre el origen de los mensajes”.
Las fallas podrían tener consecuencias significativas porque WhatsApp tiene alrededor de 1,5 mil millones de usuarios y se usa para conversaciones personales, comunicaciones comerciales y mensajes políticos, dijo Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point.
Check Point dijo que alertó a WhatsApp sobre las fallas a fines del año pasado pero que solo uno de los defectos, disfrazar un mensaje privado como uno que se hace visible para todo un grupo, se ha abordado. Vanunu dijo que su compañía está trabajando con WhatsApp, pero los otros problemas fueron difíciles de resolver debido al cifrado de la aplicación de mensajería.
Fuente: WeLiveSecurity