CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/05/2011

Vulnerabilidad en WhatsApp puede dejar parte de tus conversaciones al descubierto

Imagen de la noticia Es fácil espiar a la gente que usa el popular mensajero móvil WhatsApp.

WhatsApp envía los nombres de usuario, números de teléfono y mensajes instantáneos sin cifrar a través de Internet. Los delincuentes pueden interceptar esta información utilizando un simple sniffer de red, como el popular Wireshark.

Un lector de la publicación holandesa IDG Webwereld descubrió esta vulnerabilidad. Él fue capaz de interceptar todo el tráfico sin cifrar en una red y Webwereld fue capaz de reproducir sus conclusiones. A primera vista, parece que WhatsApp está utilizando una conexión SSL segura, HTTPS, para sus servidores. Pero esto puede ser engañoso, como se ve al hacer una inspección más cercana. Aunque todos los nombres de usuario, números de teléfono y los mensajes instantáneos son transferidos a través del puerto 443, que se reservan para el tráfico cifrado, se envían a los servidores de WhatsApp en texto normal, sin cifrado.

Debido a esto es fácil obtener la información privada utilizando un ataque del tipo "man-in-the-middle”. El ataque sólo puede llevarse a cabo cuando un teléfono inteligente con WhatsApp está conectado a una red inalámbrica no segura, como por ejemplo puntos de acceso Wi-Fi que se ofrecen en las estaciones de tren o aeropuertos.

Los delincuentes también pueden configurar un punto de acceso Wi-Fi con un SSID común, de una red inalámbrica sin cifrar. Esto se conoce como red gemela malvada. Las personas que usan sólo redes de confianza o aseguradas son probablemente menos vulnerables a este ataque.

En un comunicado, WhatsApp dice que "cree firmemente en la libertad de la red y la privacidad" de sus usuarios. La compañía está estudiando de cerca este asunto, pero no desea hacer un comentario en este momento.

Para el descubridor de la vulnerabilidad, esto cuenta una historia diferente. En este comentario, WhatsApp confía en las redes 3G y Wi-Fi para proteger el tráfico. "No guardamos o almacenamos los datos de la libreta de direcciones o de sus conversaciones, por lo que no hay nada que cifrar", dijo un portavoz.

Fuente: PCWorld http://www.pcwla.com/

CSIRT-CV