• Los investigadores descubrieron varias vulnerabilidades de WhatsApp durante la conferencia Black Hat 2019.
• Las vulnerabilidades permiten a los malos actores manipular los chats.
• Facebook no tiene una solución para las vulnerabilidades.

Las recientes fallas de seguridad de WhatsApp permiten a los malos actores falsificar los chats y hacer que parezcan provenir de usted, informó ayer Check Point Research. Check Point Research anunció sus hallazgos durante la conferencia de seguridad Black Hat 2019.

Según los investigadores, había tres formas de explotar las vulnerabilidades:

1. Utilice la función de "cotización" en una conversación grupal para cambiar la identidad del remitente, incluso si esa persona no es miembro del grupo.
2. Modifique el texto de la respuesta de otra persona, esencialmente poniendo palabras en su boca.
3. Envíe un mensaje privado a otro participante del grupo que se disfrace como público para todos, de modo que cuando la persona objetivo responda, sea visible para todos en la conversación.

Check Point informó a WhatsApp de las vulnerabilidades en agosto de 2018. Luego, WhatsApp arregló el tercer método. Sin embargo, los investigadores descubrieron que todavía es posible manipular las citas citadas y falsificarlas. Check Point utilizó su extensión Burp Suit para romper el cifrado de extremo a extremo de WhatsApp y descifrar los chats. El elemento explotable aquí es la versión web de WhatsApp, que utiliza códigos QR para emparejarse con su teléfono.

Check Point obtuvo primero el par de claves pública y privada creado antes de que WhatsApp genere un código QR. Combinado con el parámetro "secreto" enviado por su teléfono al cliente web de WhatsApp cuando escanea el código QR, la extensión de traje Burp hace que sea fácil monitorear y descifrar s.

Un portavoz de Facebook proporcionó la siguiente declaración a La próxima web:

Revisamos cuidadosamente este problema hace un año y es falso sugerir que existe una vulnerabilidad con la seguridad que brindamos en WhatsApp. El escenario descrito aquí es simplemente el equivalente móvil de alterar las respuestas en un hilo de correo electrónico para que parezca algo que una persona no escribió. Debemos tener en cuenta que abordar las inquietudes planteadas por estos investigadores podría hacer que WhatsApp sea menos privado, como el almacenamiento de información sobre el origen de s.

Desafortunadamente, la compañía no parece tener una resolución para las vulnerabilidades de WhatApp. Debido a que el servicio de mensajería utiliza cifrado de extremo a extremo, Facebook no puede acceder a versiones descifradas de s. Eso significa que Facebook no puede intervenir si los malos actores explotan las vulnerabilidades antes mencionadas.