El cifrado extremo a extremo es una de las medidas de seguridad que incorporan WhatsApp u otras aplicaciones de mensajería para asegurar la seguridad de las conversaciones. Sin embargo, parece que WhatsApp o Telegram no son capaces de asegurar al 100% el envío de ficheros, como fotos, según un reciente estudio publicado por Symantec. Estos explican cómo se pueden manipular las fotos enviadas por WhatsApp antes de que las veamos, aprovechando para modificarlas e incluso colar malware.

En Android podemos elegir entre guardar las imágenes, audios y videos recibidos en el almacenamiento interno o en el externo. WhatsApp, por defecto, guarda los archivos recibidos en el almacenamiento externo. En el caso de Telegram, esto sólo sucede cuando la función “Guardar en galería” está activada, algo que debe hacer el propio usuario y que no viene activo por defecto.

Vulnerabilidad permite manipular las fotos enviadas por WhatsApp antes de llegar al teléfono

Según los investigadores de seguridad de Symantec, esto permite que el malware con acceso al almacenamiento externo pueda acceder a los ficheros recibidos por WhatsApp, incluso antes de que el usuario pueda verlos. Si el usuario descarga una aplicación maliciosa sin él saberlo y recibe una foto de WhatsApp, esta puede usada por un hacker para manipular la foto sin que se entere. Teóricamente también podría modificarse una foto antes de ser enviada.

Este tipo de ataque ha sido bautizado como “Media File Jacking” y se considera un fallo de seguridad grave para las aplicaciones de mensajería de Android. Al utilizarla el almacenamiento externo para no “llenar” la memoria interna del teléfono se posibilita la realización de este tipo de ataques.

Desde Telegram no han realizado declaraciones al respecto y desde WhatsApp señalan que modificar la forma en que la aplicación utiliza el almacenamiento del teléfono podría limitarla, además de introducir nuevos problemas de seguridad. Entre todas las cosas que se podrían hacer tenemos:

• Modificar fotos para mostrar una versión diferente de la misma.
• Modificar facturas enviadas por mensajería cambiando la cuenta de destino del pago.
• Modificar mensajes de audio utilizando técnicas de reconstrucción de voz para que el mensaje diga “otra cosa”.
• Enviar noticias falsas o modificar el contenido de comunicados de canales oficiales.

Modificando una factura:

Modificando una foto:

Como vemos en el vídeo anterior, en cuestión de décimas de segundo se manipula una imagen y se muestra al receptor una versión que no es la original. Por el momento, se trata de un problema de seguridad que deberán resolver tanto Google, con Android, como los desarrolladores de aplicaciones de mensajería.