Bug de WhatsApp permite a cualquiera eludir función de privacidad “Ver una vez"

Iniciado por AXCESS, Septiembre 11, 2024, 12:24:20 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un fallo de privacidad en WhatsApp, un servicio de mensajería instantánea con más de 2 mil millones de usuarios en todo el mundo, está siendo explotado por atacantes para eludir la función de la aplicación "Ver una vez" y volver a ver los mensajes.

Meta afirma que la función "Ver una vez" de WhatsApp (introducida hace tres años) permite a los usuarios compartir fotos, vídeos y mensajes de voz de forma privada, ya que el destinatario no debería poder reenviar, compartir, copiar o hacer capturas de pantalla de sus mensajes porque desaparecerán automáticamente de los chats después de abrirlos una vez.

"Una vez que envíes una foto, un vídeo o un mensaje de voz para ver una vez, no podrás volver a verlo", explica la empresa en su sitio web de soporte.

"Cualquier foto o vídeo que envíes no se guardará en las Fotos o la Galería del destinatario. El destinatario tampoco puede hacer una captura de pantalla de nada que envíes usando la función "Ver una vez".

Sin embargo, "Ver una vez" solo impedirá que los usuarios de WhatsApp hagan capturas de pantalla de lo que se está enviando en dispositivos móviles porque las plataformas de escritorio y web no admiten el bloqueo de capturas de pantalla.

Además, el equipo de investigación de Zengo X descubrió que Meta implementó esta función de una manera que los investigadores describieron como "negligente", lo que permite a los atacantes guardar y compartir fácilmente copias de mensajes "Ver una vez".

"Habíamos revelado responsablemente nuestros hallazgos a Meta, pero cuando nos dimos cuenta de que el problema ya se estaba explotando, decidimos hacerlo público para proteger la privacidad de los usuarios de WhatsApp", dijo el director de tecnología de Zengo, Tal Be'ery.

Como descubrieron los investigadores de seguridad de Zengo, la función "Ver una vez" se utiliza para enviar mensajes multimedia cifrados a todos los dispositivos del destinatario, mensajes que son casi idénticos a uno normal pero que incluyen una URL a los datos cifrados alojados en el servidor web de WhatsApp ("almacén de blobs") y la clave para descifrarlos. Además, los mensajes "Ver una vez" establecen una bandera "Ver una vez" en "verdadero".



"Falso sentido de privacidad"

Be'ery explicó que la función "Ver una vez" de WhatsApp permite a los usuarios enviar mensajes que solo deben verse una vez. Aun así, los mensajes se envían a todos los dispositivos del receptor, incluidos aquellos que no tienen permiso para verlos. Además, los mensajes no se eliminan inmediatamente de los servidores de WhatsApp después de la descarga.

Esto hace que sea imposible limitar la exposición de los medios a entornos y plataformas controlados, especialmente porque algunas versiones de los mensajes "Ver una vez" también contienen vistas previas de medios de baja calidad que se pueden ver sin descargar.

Además, los mensajes "Ver una vez" funcionan como mensajes normales, pero con un indicador "Ver una vez". Sin embargo, los atacantes pueden eludir esta función de privacidad configurando este indicador "Ver una vez" como falso, lo que permite que el mensaje se descargue, reenvíe y comparta.

"La privacidad es fundamental para la mensajería instantánea. WhatsApp lo reconoció al admitir el cifrado de extremo a extremo (E2EE) para las conversaciones de sus usuarios de forma predeterminada", concluyó Be'ery.

"Sin embargo, lo único peor que la falta de privacidad es una falsa sensación de privacidad en la que se hace creer a los usuarios que algunas formas de comunicación son privadas cuando en realidad no lo son. Actualmente, la función Ver una vez de WhatsApp es una forma contundente de falsa privacidad y debería solucionarse por completo o abandonarse".

Si bien los investigadores de Zengo son los primeros en informar el problema a Meta y publicar un informe que detalla este problema de privacidad, la falla se ha utilizado de manera abusiva para guardar mensajes de "Ver una vez" durante al menos un año, y quienes la explotan incluso crean complementos de navegador para agilizar todo el proceso.

BleepingComputer conoce al menos dos extensiones de Google Chrome, una lanzada en 2023, que pueden deshabilitar la función Ver una vez, lo que permite omitir la función.

Meta respondió a un correo electrónico de BleepingComputer sobre la omisión, diciendo que actualmente están implementando cambios en la función Ver una vez. Si bien se está preparando una solución para WhatsApp Web, no está claro si la falla de privacidad aún podría explotarse mediante aplicaciones personalizadas de WhatsApp.

"Nuestro programa de recompensas por errores es una forma importante de recibir comentarios valiosos de investigadores externos y ya estamos en el proceso de implementar actualizaciones para ver una sola vez en la web", dijo un portavoz de WhatsApp a BleepingComputer. "Seguimos alentando a los usuarios a que solo envíen mensajes de una sola vez a personas que conocen y en las que confían".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta