Falla en WhatsApp permite modificar chats grupales para difundir noticias falsas

Se han encontrado múltiples vulnerabilidades de seguridad en WhatsApp, la aplicación de mensajería más popular del mundo, lo que podría permitir a usuarios maliciosos interceptar y modificar el contenido de los mensajes enviados tanto en conversaciones privadas como grupales.

Descubiertos por investigadores de seguridad en la firma israelí Check Point, los fallos aprovechan una brecha en los protocolos de seguridad de WhatsApp para cambiar el contenido de los mensajes, permitiendo a usuarios maliciosos crear y difundir información errónea y noticias falsas de "lo que parecen ser fuentes de confianza".

Los defectos residen en la forma en que la aplicación móvil de WhatsApp se conecta con la aplicación web de WhatsApp y descifra los mensajes cifrados de extremo a extremo utilizando el protocolo protobuf2.

Las vulnerabilidades podrían permitir a los piratas utilizar la función 'cita' en una conversación grupal de WhatsApp para cambiar la identidad del remitente o alterar el contenido de la respuesta de otra persona a un chat grupal o incluso enviar mensajes privados a uno de los participantes del grupo (pero siendo invisible para otros miembros) disfrazado como un mensaje grupal.

En un ejemplo, los investigadores pudieron cambiar una entrada de chat de WhatsApp que decía "¡Genial!", enviada por un miembro de un grupo, para que dijera "¡Me voy a morir, en un hospital ahora mismo!".

Cabe señalar que las vulnerabilidades reportadas no permiten que una tercera persona intercepte o modifique los mensajes de WhatsApp cifrados de extremo a extremo, sino que los defectos podrían ser explotados solo por usuarios malintencionados que ya forman parte de las conversaciones grupales.

Demostración en video: cómo modificar los chats de WhatsApp

Para explotar estas vulnerabilidades, los investigadores de CheckPoint Dikla Barda, Roman Zaikin y Oded Vanunu crearon una nueva extensión personalizada para el popular software de seguridad para aplicaciones web Burp Suite, permitiéndoles interceptar y modificar fácilmente mensajes cifrados enviados y recibidos en la versión Web de WhatsApp.

La herramienta, que denominaron "WhatsApp Protocol Decryption Burp Tool", está disponible de forma gratuita en Github, y requiere que primero el atacante ingrese sus claves privadas y públicas, que se pueden obtener fácilmente "obtenidas de la fase de generación de claves de WhatsApp Web antes el código QR se genera", según lo explicado por los investigadores en una publicación de blog.

"Al descifrar la comunicación de WhatsApp, pudimos ver todos los parámetros que realmente se envían entre la versión móvil de WhatsApp y la versión web. Esto nos permitió manipularlos y comenzar a buscar problemas de seguridad".

En el video de YouTube que se muestra arriba, los investigadores demostraron las tres técnicas diferentes que han desarrollado, lo que les permitió:

Ataque 1 - Cambiar la respuesta de un corresponsal para hacerse pasar por el corresponsal

Usando la extensión Burp Suite, un usuario malintencionado de WhatsApp puede alterar el contenido de la respuesta de otra persona, haciéndose pasar por esa persona, como se muestra en el video.

Ataque 2- Cambiar la identidad de un remitente en un chat grupal, incluso si no es miembro

El ataque permite a un usuario malintencionado de un grupo de WhatsApp explotar la función 'cita', que permite a los usuarios responder a un mensaje pasado dentro de un chat etiquetándola en una conversación para suplantar un mensaje de respuesta para hacerse pasar por otro miembro del grupo e incluso un miembro del grupo no existente.

Ataque 3 - Enviar un mensaje privado en un grupo de chat, pero cuando el destinatario responda, todo el grupo lo ve

El tercer ataque de WhatsApp permite que un usuario de grupo malintencionado envíe un mensaje especialmente diseñado que solo una persona específica podrá ver. Si la persona objetivo responde al mismo mensaje, solo su contenido se mostrará a todos en el grupo.

WhatsApp / Facebook elige dejar los informes de ataques sin corregir

Los investigadores reportaron las fallas al equipo de seguridad de WhatsApp, pero la compañía argumentó que dado que estos mensajes no rompen la funcionalidad fundamental del cifrado de extremo a extremo, los usuarios "siempre tienen la opción de bloquear a un remitente que intenta falsificar mensajes y ellos pueden reportarnos contenido problemático".

"Estas son compensaciones de diseño conocidas que se han planteado anteriormente en público, incluido por Signal en una publicación de blog de 2014, y no tenemos intención de realizar ningún cambio en WhatsApp en este momento", respondió el equipo de seguridad de WhatsApp a los investigadores.

Otro argumento que WhatsApp compartió con los investigadores, en el contexto de por qué la empresa no puede detener la modificación del contenido del mensaje: "Este es un caso límite conocido que se relaciona con el hecho de que no almacenamos mensajes en nuestros servidores y no tenemos una sola fuente confiable para estos mensajes ".

"Mi punto era la información errónea, y WhatsApp juega un papel vital en nuestra actividad diaria. Por lo tanto, desde mi punto de vista, tienen que solucionar estos problemas", dijo el investigador de CheckPoint Roman Zaikin.

"Siempre es funcionalidad vs. seguridad, y esta vez WhatsApp elige la funcionalidad".

Dado que WhatsApp se ha convertido en una de las herramientas más importantes para difundir noticias falsas y desinformación, al menos en países con problemas políticos altamente volátiles, creemos que WhatsApp debería solucionar estos problemas y además poner límites a los mensajes reenviados.

Artículos relacionados:

• El malware TeleGrab permite evadir el cifrado para leer mensajes privados
• Otra falla grave en Signal permite robar las conversaciones
• Rusia Bloquea 50 VPN y proxies para evitar las conexiones a Telegram