Noticias y Alertas
Header

Un error en WhatsApp permite a los usuarios modificar chats grupales para difundir noticias falsas

agosto 8th, 2018 | Posted by kwelladm in Noticias

WhatsApp, la aplicación de mensajería más popular del mundo, se ha encontrado vulnerable a múltiples vulnerabilidades de seguridad que podrían permitir a los usuarios maliciosos interceptar y modificar el contenido de los mensajes enviados tanto en conversaciones privadas como grupales.  Los fallos aprovechan una laguna en los protocolos de seguridad de WhatsApp para cambiar el contenido de los mensajes, permitiendo a los usuarios maliciosos crear y difundir información falsa o falsa de “lo que parecen ser fuentes de confianza”.
Los defectos residen en la forma en que la aplicación móvil de WhatsApp se conecta con la Web de WhatsApp y descifra los mensajes cifrados de extremo a extremo utilizando el protocolo protobuf2 .

Una imagen mejor que cien palabras:

Las vulnerabilidades podrían permitir a los hackers utilizar la función ‘cita’ en una conversación grupal de WhatsApp para cambiar la identidad del remitente o alterar el contenido de la respuesta de otra persona a un chat grupal o incluso enviar mensajes privados a uno de los participantes del grupo ( pero invisible para otros miembros) disfrazado como un mensaje grupal para todos. En un ejemplo, los investigadores pudieron cambiar una entrada de chat de WhatsApp que decía ” ¡Genial! ” -Enviado por un miembro de un grupo- para que dijera ” ¡Me voy a morir, en un hospital ahora mismo! “. Cabe señalar que las vulnerabilidades informadas no permiten que una tercera persona intercepte o modifique los mensajes de WhatsApp encriptados de extremo a extremo, sino que los defectos podrían ser explotados solo por usuarios malintencionados que ya forman parte de las conversaciones grupales.

La herramienta, que denominaron ” WhatsApp Protocol Decryption Burp Tool “, está disponible de forma gratuita en Github , y primero requiere que un atacante ingrese sus claves privadas y públicas, que se pueden obtener fácilmente “obtenidas de la fase de generación de claves de WhatsApp Web antes el código QR se genera “, según lo explicado por el trío en una publicación de blog .
“Al descifrar la comunicación de WhatsApp, pudimos ver todos los parámetros que realmente se envían entre la versión móvil de WhatsApp y la versión web. Esto nos permitió manipularlos y comenzar a buscar problemas de seguridad”.

Los investigadores demostraron las tres técnicas diferentes que han desarrollado, lo que les permitió:

Ataque 1 – Cambiar la respuesta de un usuario para poner palabras en su boca

Un usuario malintencionado de WhatsApp puede alterar el contenido de la respuesta de otra persona, esencialmente poniéndole palabras en la boca.

Ataque 2: cambiar la identidad de un remitente en un chat grupal, incluso si no es miembro

El ataque permite a un usuario malintencionado de un grupo de WhatsApp explotar la función ‘cita’ -que permite a los usuarios responder a un mensaje pasado dentro de un chat etiquetándola- en una conversación para suplantar un mensaje de respuesta para hacerse pasar por otro miembro del grupo e incluso un no -existente miembro del grupo.

Ataque 3: envíe un mensaje privado en un grupo de chat, pero cuando el destinatario responda, todo el grupo lo vea

El tercer ataque de WhatsApp permite que un usuario de grupo malintencionado envíe un mensaje especialmente diseñado que solo una persona específica podrá ver.Si la persona objetivo responde al mismo mensaje, solo su contenido se mostrará a todos en el grupo.

WhatsApp / Facebook elige dejar las vulnerabilidades informadas sin corregir

La compañía argumentó que dado que estos mensajes no rompen la funcionalidad fundamental del cifrado de extremo a extremo, los usuarios “siempre tienen la opción de bloquear a un remitente que intenta falsificar mensajes y ellos pueden reportarnos contenido problemático “.

“Estas son compensaciones de diseño conocidas que se han planteado anteriormente en público, incluido en Signal en una publicación de blog de 2014, y no tenemos la intención de realizar ningún cambio en WhatsApp en este momento”, respondió el equipo de seguridad de WhatsApp a los investigadores.

“Mi punto era la desinformación, y WhatsApp juega un papel vital en nuestra actividad diaria. Por lo tanto, desde mi punto de vista, tienen que solucionar estos problemas”, dijo el investigador de CheckPoint Roman Zaikin.

“Siempre es funcionalidad vs. seguridad, y esta vez WhatsApp elige la funcionalidad”.

Dado que WhatsApp se ha convertido en una de las herramientas más importantes para difundir noticias falsas y desinformación, al menos en países con problemas políticos altamente volátiles, creemos que WhatsApp debería solucionar estos problemas junto con poner límites a los mensajes reenviados.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario