Antes, WhatsApp permitía a sus usuarios el envío de direcciones URL pero se enviaban como ‘texto plano’, convirtiéndose en un enlace directo que se ejecuta en el navegador web por acción del propio sistema operativo. Y desde hace ya algún tiempo, la app de mensajería instantánea enriquece la URL solicitando metadatos al servidor al que corresponde, de tal manera que aparecen la imagen asociada y también la meta-descripción de la URL. Y esto es un problema para sus comunicaciones seguras, según han podido demostrar.

El servicio de mensajería instantánea WhatsApp se apoya en un sistema de cifrado de extremo a extremo para sus comunicaciones. Es decir, que un mensaje es enviado desde el cliente –móvil del emisor- ya cifrado, y pasa por los servidores de WhatsApp con el mismo cifrado, y no se aplican las claves pública y privada para el descifrado del mensaje hasta que no llega al segundo cliente, que es el móvil del receptor. En todo esto, sin embargo, hay una consulta especial que se produce cuando enviamos una dirección URL, y se hace sobre el servidor de la página web a la que corresponde la dirección URL en cuestión.

Very creepy @WhatsApp, someone was apparently typing in an URL and WhatsApp was fetching it off my server char-by-char pic.twitter.com/sFTxhfpISv

— mulander (@mulander) June 12, 2017

Un servidor ‘tercero’ puede ver datos de los usuarios de WhatsApp al enviar URLs

Como destapa la imagen del ‘tweet’ anterior, cuando enviamos una dirección URL, WhatsApp hace consultas constantes al servidor al que corresponde esta dirección URL para tomar los metadatos. Estos metadatos son la meta-descripción de la página concreta y también la imagen asociada, si la hubiera. Las consultas constantes se producen sobre el servidor que aloja la información de la URL, y son múltiples porque se piden metadatos por cada letra que introducimos para que no haya fallos y se produzca la ‘descarga’ de la forma más rápida posible. Eso, a priori, produce una carga innecesaria, pero no debería ser perjudicial.

El problema está en la comunicación con servidores terceros, en tanto que las solicitudes se hacen en formato GET y aportando al mismo la dirección IP del cliente –para identificar al mismo- y también desvelando detalles como la versión de Android, por ejemplo, entre otra información. Es decir, que en cierto modo se ve afectada la seguridad de WhatsApp, y con sólo enviar una dirección URL el ‘servidor tercero’ está pudiendo comprobar información privada del dispositivo.