Un investigador danés afirma que la solución de cifrado empleada por la popular plataforma de mensajería WhatsApp posee una vulnerabilidad. Según Thijs Alkemade, la empresa no se ha tomado en serio como debería la seguridad de la plataforma. Afirma que los usuarios deberían ser conscientes de que sus mensajes pueden ser descifrados en cualquier momento por un atacante con recursos..
WhatsApp tiene su propia "cuota de mercado" en cuanto a problemas de seguridad se refiere. La compañía implementó el cifrado de mensajes en Agosto de 2012, pero ni siquiera han publicado el tipo de cifrado que emplean.ç
Ahora, gracias a este experto danés, un estudiante de matemáticas y ciencia computacional en Utrecht (también desarrollador jefe para Adium, una plataforma de IM en Mac OS X) sabemos que, no solo WhatsApp emplea la misma clave de cifrado (RC4) para los mensajes en ambas direcciones, sino que además comparten la clave HMAC para autenticar los mensajes.
Para comprobar este punto, el investigador ha creado un script en Python, el cual puede interceptar mensajes dirigidos a un cliente de WhatsApp, desde donde intenta descifrar los mensajes entrantes mediante el conocimiento de los salientes."Pero una MAC por sí misma no es suficiente para detectar todas las formas de tampering (alteración); un atacante podría dejar caer mensajes específicos, cambiarlos o incluso retransmitirlos al emisor" cuenta el experto. Los certificados TLS contrarrestan este fenómeno añadiendo una secuencia de números en el texto plano de cada mensaje y empleando una clave diferente de HMAC para los mensajes cliente-servidor y mensajes servidor-cliente. WhatsApp no emplea dicha secuencia, sino que reutiliza la clave RC4 anterior en el HMAC."
Cuando se le retó a reproducir los resultados con el cliente oficial de WhatsApp, continuó con la investigación y demostró que los clientes oficiales de Android y Nokia S60 son vulnerables.
"Deberíamos asumir que cualquier que es capaz de espiar en nuestra conexión de WhatsApp es capaz de descifrar nuestros mensajes, con un esfuerzo apropiado en tiempo. Deberíamos considerar todos nuestros mensajes previos como vulnerables" concluyó, añadiendo que los usuarios de WhatsApp no pueden protegerse de forma alguna -salvo, claro está, no usando la herramienta hasta que se solucione el problema (si esto ocurre)
Aparentemente, la solución es fácil: los desarrolladores deberían considerar el empleo de una "solución que ha sido estudiada, actualizada y reparada durante más de 15 años, como TLS"
0 comentarios:
Publicar un comentario