Según lo descubierto, aparentemente un intruso puede tomar el control de servidores, agregar un nuevo miembro a un grupo sin que el administrador lo apruebe y leer los mensajes
Una falla de seguridad en WhatsApp deja la puerta abierta para que un intruso se infiltre en un grupo de chat, al tener el control de los servidores del servicio de mensajería, advirtió un equipo de criptógrafos alemanes.
El mecanismo de ataque se aprovecha de “un simple error”, detallaron los investigadores de la Universidad Ruhr de Bochum, Alemania, quienes presentaron un estudio en la conferencia de seguridad Real World Crypto, que ayer comenzó en la ciudad suiza de Zurich.
Sólo el administrador de un grupo de WhatsApp puede invitar a nuevos miembros, pero este servicio no usa ningún mecanismo para que esa invitación no pueda ser falsificada por sus propios servidores, explicaron.
Entonces, al tomar control del servidor se puede agregar un nuevo miembro a un grupo sin interacción del administrador, y luego el intruso tendrá acceso completo a cualquier mensaje futuro (los mensajes enviados antes de una invitación no se pueden ver).
WhatsApp cuestionó la importancia del problema afirmando que cuando un nuevo miembro se une a un grupo, el resto de los integrates ven un mensaje con la notificación.
Y el administrador podrá advertir a los otros miembros de una intrusión o el mensaje de invitación falsificado a través de otros grupos o en mensajes individuales.
Sin embargo, los investigadores alemanes señalaron varios trucos que podrían usarse para retrasar la detección.
Una vez que un atacante con control del servidor de WhatsApp tiene acceso a la conversación, podría también usar el servidor para bloquear selectivamente cualquier mensaje en el grupo, incluidos los que hacen preguntas o advertencias sobre el nuevo participante.
Y en el caso de grupos con múltiples administradores podrían falsificarse diferentes mensajes para cada administrador, haciendo que parezca que otro invitó al espía para que no se genere alarma alguna.
Incluso podría evitar que un administrador intente eliminar al intruso si el grupo lo descubre, indicaron los investigadores.
El personal de WhatsApp les dijo a los investigadores que el error encontrado ni siquiera calificaba para el llamado programa de recompensa de errores administrado por Facebook, dueña de WhatsApp, en el que se les paga a investigadores de ciberseguridad por informar sobre fallas de software de la empresa.