La conferencia anual de seguridad Black Hat de Las Vegas está dando mucho de sí. Si ayer conocíamos la vulnerabilidad de Snapdragon QualPwn, hoy le toca el turno a WhatsApp, que ha logrado ser burlado en cierto modo por la compañía de seguridad CheckPoint.
Se trata de un hack algo complicado pero que posibilita poner palabras en boca de otros en un chat, después de lograr descifrar el tráfico de WhatsApp con la ayuda de WhatsApp Web.
Modificando los textos de WhatsApp
No son una, sino tres vulnerabilidades o, mejor dicho, tres escenarios en los cuales se puede aprovechar una metodología similar, y que se basa en descifrar el tráfico de WhatsApp interceptando los datos en WhatsApp Web y utilizando una herramienta especial creada por los investigadores:
Usar la respuesta con mención en un grupo para cambiar la identidad del emisor del mensaje, incluso si dicha persona no está en el chat.
Modificar el texto de la respuesta de alguien.
Enviar un mensaje privado al participante de un grupo de WhatsApp que se camufla como mensaje público para todos, de modo que cuando este responda sea visible para todo el mundo.
Lo puedes ver en funcionamiento en el siguiente vídeo, si bien es algo complicado ver qué está pasando exactamente. En el vídeo el atacante responde a un mensaje modificado de original donde se le ofrece más dinero.
Con la ayuda de WhatsApp Web y una herramienta especial, se pueden modificar bajo ciertas condiciones los mensajes de WhatsApp
Si bien en el ejemplo anterior, el mensaje original se mantiene a la vista y por tanto es fácil encontrar la discrepancia entre ellos, en un grupo donde se envían muchos mensajes esto puede ser un problema, propiciando la propagación de noticias falsas y posibles estafas.
La herramienta para interceptar, descifrar y modificar mensajes de WhatsApp permite cambiar cualquier otro atributo del mismo, incluyendo quién ha escrito el mensaje. Esepcialmente interesante es la posibilidad de cambiar quién ha enviado los mensajes en un chat privado, pudiendo crear así conversaciones privadas totalmente falsas, donde el atacante redacta lo que dicen ambas personas.
Los investigadores de CheckPoint han puesto en conocimiento de Facebook estos problemas de seguridad, si bien a día de hoy solo se ha corregido uno de los escenarios: la posibilidad de enviar un mensaje privado a otro participante camuflado como mensaje público. Es un hack algo complicado y que tiene varios requisitos, pero que no es ni mucho menos imposible.
Más información | FakesApp
