Un equipo de investigadores de Ruhr-Universität Bochum, en Alemania, ha descubierto que una persona ajena a un grupo de WhatsApp puede ver secretamente la conversación que se está manteniendo, incluso con el cifrado de extremo a extremo activado (de hecho, está activado por defecto).

El cifrado extremo a extremo tendría que evitar que un tercero o una persona ajena pudiera ver los mensajes enviados por los distintos participantes de una conversación si nos referimos a un servicio de mensajería. Es una característica que puede resultar crítica para algunos usuarios, como por ejemplo activistas en países donde no se respetan los derechos humanos. Sin embargo, es importante destacar que el cifrado empleado en servicios como Signal y WhatsApp no siguen totalmente los principios de un protocolo de conocimiento cero.

Los investigadores han descubierto que cualquiera que controle los servidores de Signal y WhatsApp puede agregar nuevos miembros de forma encubierta a una conversación en grupo, permitiendo así espiar y manipular las conversaciones sin el consentimiento del administrador del grupo.

Según lo explicado por los investigadores, el servidor desempeña un rol limitado en los diálogos en los que solo participan dos personas, sin embargo, en las conversaciones en grupo, donde los mensajes son cifrados y enviados a varios usuarios, el servidor gana protagonismo para poder realizar las gestiones pertinentes y así administrar el proceso. El origen del problema está en que Signal, WhatsApp y Threema fallan a la hora de autenticar adecuadamente quién es añadido como un nuevo miembro de una conversación en grupo, haciendo que dicha persona se una sin necesitar la autorización del administrador y sin que salten las notificaciones.

Por lo tanto, un administrador o cualquier empleado de los servicios de mensajería que tenga malas intenciones podría acceder a un servidor para manipular o bloquear la gestión de los mensajes de un grupo, de forma que pueda añadir nuevos miembros sin que salten las notificaciones. Los investigadores explican que un atacante que “controla un servidor de WhatsApp o rompa la TLS puede tener el control total del grupo. Sin embargo, al ingresar en un grupo deja huellas en las interfaces de los usuarios, por lo que un servidor de WhatsApp puede ser usado para reordenar o poner nuevos mensajes de forma silenciosa en el grupo.”

“Por lo tanto, puede cachear mensajes enviados en el grupo, leer su contenido y decidir en qué orden enviárselos a los miembros. Además, el servidor de WhatsApp puede reenviar estos mensajes a los miembros de forma individual, pudiendo realizar una combinación de mensajes elegidos estratégicamente que le ayude a cubrir los rastros que va dejando.”

Tras la publicación del informe, WhatsApp ha reconocido el problema, pero ha argumentado que si un nuevo miembro es añadido a un grupo, el resto de participantes recibirán la correspondiente notificación debido a que han construido su servicio de forma que “los mensajes de un grupo no puedan ser enviados por un usuario oculto”. Por otro lado, también ha dicho que desde el servicio de mensajería “recolectan muy poca información y todos los mensajes son cifrados de extremo a extremo.”

Tras todo lo dicho, el problema, al menos en WhatsApp, está sobre todo en los grupos muy numerosos en los cuales no todos los miembros se conocen. En esos casos se podría colar una persona malintencionada desde los servidores de la aplicación y realizar las manipulaciones descritas en este artículo.

Los investigadores recomiendan a los encargados de WhatsApp, Signal y Threema añadir un mecanismo de autenticación asegurando que los mensajes de gestión de grupo firmados provengan solo del administrador del grupo.

Fuente: The Hacker News