Hace justo un año que la empresa de seguridad Check Point detectaba una vulnerabilidad
que permitía saltarse el cifrado de WhatsApp y editar cualquier mensaje. Pues bien, durante esta misma semana los investigadores de Black Hat 2019 han demostrado como un año después sigue siendo posible manipular los mensajes de WhatsApp después de que la propia compañía no haya resuelto todavía todos los fallos detectados.
Concretamente, la empresa de seguridad citada anteriormente descubrió tres fallos el pasado año en WhatsApp. El primero de ellos permitía editar el mensaje de una persona para hacer ver al receptor que el emisor ha escrito cosas que en realidad no había dicho, el segundo permitía citar un mensaje como respuesta a una conversación en grupo para que pareciese que venía de otro miembro del grupo, pero en realidad provenía de alguien que no formaba parte ni del grupo, mientras que el tercero permitía enviar un mensaje a un miembro de un grupo para que pareciese un mensaje grupal, pero en realidad sólo lo podía ver ese miembro. Por otra parte, la respuesta a ese mensaje del receptor del mismo la podrían ver todos los miembros del grupo.
WhatsApp sigue sin solucionar errores descubiertos hace una año que permiten falsificar mensajes
Pues bien, esta misma semana se ha demostrado en la conferencia Black Hat 2019 que se celebra en Las Vegas, cómo el último error ha sido solucionado, pero los dos primeros siguen sin resolverse por parte de WhatsApp. De esta manera, los otros dos fallos siguen siendo explotables por cualquier pirata y de esta manera podrían falsificar los mensajes enviados o recibidos en WhatsApp.
El cifrado de extremo a extremo de WhastApp está diseñado para que solo nosotros y la persona a la que enviamos un mensaje puedan verlo, evitando que cualquiera que lo intercepte en el camino, incluido el propio WhatsApp, puedan tener acceso a su contenido.
WhatsApp
Sin embargo, debido a que Facebook no ha sido capaz o no ha dedica tiempo a corregir algunas vulnerabilidades, gracias a la ingeniería inversa aún es posible editar mensajes de WhatsApp y enviar cosas que el emisor no ha escrito sin que el receptor se de cuenta de ello.
La plataforma de mensajería utiliza el protocolo protobuf2 para el cifrado de mensajes, con lo cual, al convertir estos datos de protobuf2 a Json, lo investigadores pudieron ver los parámetros reales de los mensajes enviados y por lo tanto, fueron capaces de manipularlos y falsificarlos. Un fallo que todavía puede ser explotado y sobre el que WhatsApp aún no se ha manifestado.
Lo cierto es que resulta extraño ver cómo una empresa como Facebook no es capaz de resolver este tipo de errores graves de seguridad en su app de mensajería instantánea, que por otra parte es una de las más utilizadas en todo el mundo.