Pareciera que cada mes hay un nuevo anuncio sobre cómo se puede hacker WhatsApp, y Agosto no es la excepción. Ahora, un equipo iraní develó en la conferencia de Seguridad en Las Vegas cómo es posible hacker WhatsApp de modo que se puedan alterar los mensajes.
En una presentación titulada «Ingeniería inversa de cifrado de WhatsApp para manipulación de chat y más«, Roman Zaikin, investigador de seguridad, y Oded Vanunu, jefe de investigación de vulnerabilidad de productos, ambos en Check Point, explicaron el proceso en detalle.
La historia comienza en 2018 cuando Vanunu, Zaikin y otro investigador llamado Dikla Barda, lograron realizar ingeniería inversa del código fuente web de WhatsApp y descifrar con éxito el tráfico de WhatsApp. Al crear una extensión para Burp Suite, una herramienta de prueba de aplicaciones web, utilizando las funciones web que habían encontrado, para ayudar a encontrar vulnerabilidades en WhatsApp, los investigadores tal vez no sorprendentemente encontraron algunas vulnerabilidades.
¿Qué vulnerabilidades de WhatsApp descubrió Check Point?
Había tres modos de ataque posibles determinados por el equipo de Check Point, todos explotando trucos de ingeniería social para engañar a los usuarios finales y todos dando a un atacante las armas necesarias para interceptar y manipular los mensajes de WhatsApp.
«Hacia fines de 2018, Check Point Research notificó a WhatsApp sobre nuevas vulnerabilidades en la popular aplicación de mensajería», explicaron los investigadores, «dando a los atacantes el poder de crear y difundir información errónea de lo que parecen ser fuentes confiables».
Las tres metodologías de ataque son:
- La capacidad de enviar un mensaje privado a otro participante del grupo, disfrazado de mensaje público, lo que da como resultado que la respuesta «privada» del individuo objetivo sea visible para todos en la conversación.
- El uso de la función «cita» de una conversación grupal para cambiar la identidad del remitente del mensaje. Una persona que ni siquiera puede ser miembro del grupo en cuestión.
- Un método para permitir que se modifique el texto de la respuesta de otra persona para decir lo que quiera el atacante. El último ejemplo moderno de «poner palabras en la boca de alguien».
La respuesta de WhatsApp
A partir del 7 de agosto, WhatsApp solo ha solucionado el primero en esa lista. Aquí hay un potencial obvio para estafas en línea, rumores y noticias falsas dada la naturaleza de los dos que quedan. Check Point llegó al extremo de afirmar que «los actores de amenazas tienen un arma adicional en su arsenal para aprovechar la plataforma de mensajería para sus intenciones maliciosas«.
Esto a pesar de que Check Point informó a WhatsApp de sus hallazgos en nombre de la divulgación responsable y enfatizó que estas vulnerabilidades eran «de suma importancia y requieren atención». Check Point incluso creó una herramienta para explotar las vulnerabilidades, descifrando las comunicaciones de WhatsApp y falsificando los mensajes, a modo de prueba de concepto para demostrar la gravedad de la situación.
Parece que WhatsApp propiedad de Facebook no estuvo de acuerdo
WhatsApp parece haber optado por dejar a más de 1.500 millones de usuarios en más de 180 países expuestos a posibles ataques de actores que utilizan estas metodologías.
Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point, y uno del equipo que descubrió las vulnerabilidades de WhatsApp explica el razonamiento de la presentación en Black Hat. «La mensajería instantánea es una tecnología vital que nos sirve día a día, gestionamos nuestra vida privada y profesional en esta plataforma y es nuestro papel en la industria de infosec alertar sobre escenarios que podrían cuestionar la integridad«, dice Vanunu. «WhatsApp fue muy receptivo «, continúa,» pero tomó algunas medidas, incluida la fijación de uno de los escenarios de manipulación. Por lo tanto, decidimos compartir la información técnica y los escenarios durante Black Hat USA 19 para generar conciencia «.
Aquí se puede ver un video de la sesión informativa de Check Point en Black Hat, que muestra las vulnerabilidades en WhatsApp explotado:
¿Qué ha dicho Facebook?
«Revisamos cuidadosamente este problema hace un año y es falso sugerir que existe una vulnerabilidad con la seguridad que brindamos en WhatsApp«, dice un portavoz de Facebook, «el escenario descrito aquí es simplemente el equivalente móvil de alterar las respuestas en un hilo de correo electrónico para que parezca algo que una persona no escribió. Debemos tener en cuenta que abordar las inquietudes planteadas por estos investigadores podría hacer que WhatsApp sea menos privado, como el almacenamiento de información sobre el origen de los mensajes «.
Las implicaciones de privacidad de la metodología de ataque de pirateo de WhatsApp
«Si bien aprecio que la privacidad es una consideración primordial para los usuarios de WhatsApp, no estoy convencido de que esos usuarios consideren el riesgo de que sus mensajes sean interceptados y alteren un punto positivo de privacidad.» Explicó el columnista de Forbes Davey Winder.
La opinión experta independiente de ciberseguridad
«Este es un problema muy grave que aún no se ha abordado«, dice Stuart Peck, director de estrategia de ciberseguridad en ZeroDayLab, «la integridad de los mensajes recibidos de fuentes confiables es vital si los usuarios van a confiar en servicios de mensajería cifrada como WhatsApp«.
Peck dice que está realmente sorprendido de que Facebook no haya abordado estas vulnerabilidades dada la historia de abuso de sus usuarios a través del escándalo de Cambridge Analytica. «Esto juega en manos de los atacantes«, continúa Peck, «la capacidad de usar la función de ‘cita «en una conversación grupal para cambiar la identidad del remitente es lo que más me preocupa«.
Lo cual es comprensible, ya que esto podría usarse para entregar lo que Peck describe como «pretextos bastante devastadores utilizados para manipular o abusar de la confianza de las personas«. Si un atacante quisiera obtener acceso a los sistemas de trabajo para un objetivo, reuniendo números móviles a través de Open Source Intelligence, sería posible insertarse en un chat y manipular ambos lados de la conversación con el tiempo para revelar información confidencial.
¿Qué debe hacer ahora el preocupado usuario de WhatsApp?
Tal «suplantación de identidad» en WhatsApp es significativamente más peligrosa que el correo electrónico equivalente, según Peck, porque se omite el mecanismo subyacente de verificación de integridad en este ataque, sin ninguna forma actual de notificar al destinatario que es fraudulento. «Facebook debe abordar esto o arriesgarse a exponer a sus usuarios a más ataques«, advierte, y agrega que «si Facebook no aborda esta vulnerabilidad, los usuarios deberían considerar cambiar a otro servicio de mensajería cifrada como Signal«.
Referencia: http://bit.ly/2YVs4Hc