Los fallos ya fueron reportados a la compañía a finales de 2018 y uno de los métodos de explotación de ya fue reparado. Aún así, desde Facebook consideran que es falso sugerir que existe una vulnerabilidad.
Una vulnerabilidad en la app de mensajería permite manipular mensajes enviados tanto de manera privada como a nivel de grupo. En caso de que un actor malintencionado aproveche estos fallos podría crear información falsa y crear fraudes, publicó BBC.
Durante una presentación que realizaron en la conferencia Black Hat, evento que se está llevando adelante desde el 3 al 8 de agosto en Las Vegas, Estados Unidos, los investigadores, Dikla Barda, Roman Zaikin, y Oded Vanunu, presentaron una herramienta utilizada como prueba de concepto.
La vulnerabilidad puede ser explotada a través de tres diferentes métodos de ataque que involucran el uso de técnicas de ingeniería social para engañar al usuario final, explicaron los investigadores de CheckPoint.
El primer método es el uso de la función “citar” en una conversación de grupo para cambiar la identidad de la persona que lo envía, incluso si no es miembro del grupo. El segundo consiste en modificar el texto de una respuesta, mientras que el tercero método permite engañar a un usuario y hacerle creer que estaba enviando una respuesta de manera privad a una sola persona, cuando en realidad la estaba enviando a todo un grupo.
El fallo que permite el tercer método de explotación ya fue reparado por Facebook, pero según explicó Vanunu a BBC, la compañía propietaria de WhatsApp les explicó que los otros problemas no se han podido resolver debido a limitaciones de infraestructura en WhatsApp. De acuerdo al medio, la tecnología de cifrado que utiliza la app hace que sea extremadamente difícil para la compañía poder monitorear y verificar la autenticidad de los mensajes enviados por los usuarios.
Por otra parte, consultado el investigador acerca de por qué lanzar una herramienta que podría facilitar a terceros explotar la vulnerabilidad, Vanunu dijo que espera que el tema genere discusión.
“La compañía revisó estos temas hace un año atrás y asegura que es falso sugerir que existe una vulnerabilidad con la seguridad que le aplican a WhatsApp”, explicó un vocero de Facebook a Bloomberg. Por otra parte, desde el lado de WhatsApp opinan que “el escenario descrito por los investigadores equivale a alterar la respuesta de alguien en una cadena de correos”. Asimismo, agregan que “debemos tener en cuenta que considerar las inquietudes planteadas por los investigadores podría hacer que WhatsApp sea menos privado”.
Fuente: Juan Manuel Harán