access_time 14:29
|
12 de agosto de 2019
|

En la versión web

Dos fallas en WhatsApp permiten manipular los mensajes de texto

https://elsol-compress-release.s3-accelerate.amazonaws.com/images/large/1562844613230Whatsapp%20infectado.jpg

Las vulnerabilidades en la aplicación de mensajería, descubiertas hace un año y que aún permanecen activas, permiten manipular los mensajes de texto para simular que han sido escritos por otra persona o modificar su contenido.

La compañía de ciberseguridad israelí Check Point ha expuesto dos vulnerabilidades presentes actualmente en el protocolo de encriptación de WhatsApp.

Aunque la empresa alertó a la aplicación en agosto del pasado año 2018, las vulnerabilidades aún permanecen presentes en el servicio, según Check Point.

La primera de las vulnerabilidades permite utilizar las menciones a otros mensajes en un chat grupal para cambiar la identidad de la persona que lo escribe, seleccionando incluso contactos que no se encuentran en el grupo.

La segunda de ellas permite alterar el texto del mensaje de otra persona cuando se escribe una respuesta citando otro mensaje. De esta manera, es posible cambiar el mensaje que aparece como citado y poner en su boca algo que el usuario no haya dicho. Esta vulnerabilidad permite incluso manipular una conversación entera y enviarse mensajes a uno mismo en un chat con una persona haciéndose pasar por el otro.

Ambos problemas están presentes en la versión web de WhatsApp y residen en la manera en que se gestiona el acceso a las cuentas a través del escaneo de códigos QR y en el sistema de claves públicas y privadas que utiliza, que tiene lugar antes de que se genere el código de acceso.

Estos fallos de seguridad tienen lugar a pesar de los mecanismos de encriptación de extremo a extremo con los que cuenta la aplicación. Pueden utilizarse para generar bulos y noticias falsas, según ha alertado la empresa.

Para demostrar estos problemas, Check Point ha desarrollado un exploit en el que ha invertido la encriptación la WhatsApp, y que les permite acceder a toda la información encriptada que se intercambia entre los usuarios.

Comentarios de la nota

© 2019 Copyright.