Ya hace tiempo que sabíamos de varios trucos para guardar las fotos que sólo pueden verse una vez, pero resulta que WhatsApp tiene un problema con ese tipo de contenido: en realidad no queda protegido contra las descargas una vez se visualiza. Han descubierto que las fotos y vídeos temporales mantienen un enlace de descarga que queda accesible ante apps de terceros. Y hay maneras de aprovechar este error.
WhatsApp es la aplicación de mensajería instantánea con mayor uso de todo el mundo: lo utilizan más de 2.000 millones de personas al mes. Con este volumen de penetración, Meta fue reforzando progresivamente la seguridad y la privacidad en vías de proteger en lo posible a sus usuarios. Y una de las funciones, introducida para todos en agosto de 2021, es el contenido que sólo puede verse una vez: tras la visualización la foto o vídeo desaparece. Aunque eso es lo que creíamos.
El contenido temporal de WhatsApp sigue disponible aunque se vea
Para enviar una foto o un vídeo que sólo puede verse una vez tenemos que hacer el proceso habitual de adjuntar archivos y darle al icono de «1» para marcarlo como temporal. Una vez enviado aparecerá en la aplicación del destinatario de forma oculta. Y sólo podrá ver el contenido si pulsa sobre el mensaje, tanto da si se encuentra en un chat privado como en un chat de grupo.
Como descubrió Tal Be'ery, un investigador en seguridad de la plataforma Zengo, el contenido temporal de WhatsApp es fácilmente visible más allá de su límite especificado. Para comprobarlo desarrolló su propio cliente compatible. Y, tras analizar el código recibido junto con el mensaje temporal, Tal Be'ery fue capaz de descifrar la URL de la foto y bajarla una y otra vez a su ordenador.
Los servidores de WhatsApp, al recibir una imagen o foto con un único visualizado, envían este contenido al destinatario con la URL cifrada de descarga y una etiqueta para especificar que sólo puede reproducirse una vez. En el código no hay más limitaciones para la reproducción que dicha etiqueta, un «true» para especificar que el contenido se corresponde con un mensaje temporal. Por tanto, queda bajo criterio del cliente de WhatsApp el dejarle al usuario ver la imagen o vídeo sólo una vez. O cuantas desee.
WhatsApp bloquea de forma nativa la reproducción del contenido temporal más allá del límite marcado de una vez, pero eso ocurre en el cliente: los servidores de Meta almacenan ese contenido por espacio de dos semanas. Por tanto, tal y como verificó Tal Be'ery, resulta posible seguir descargando la foto o el vídeo con la URL desencriptada: los servidores de Meta no ponen impedimento para ello.
Desde Zengo comunicaron el descubrimiento a WhatsApp y Meta confirmó que lo está investigando. El problema es que este fallo de diseño lleva tiempo explotándose en aplicaciones como WhatsApp Plus o extensiones de navegador como WA Web Plus.
Imagen de portada | Iván Linares
Más información | Medium de Tal Be'ery
Vía | The Register
En Xataka Móvil | Orange y Movistar se enzarzan en una guerra sin precedentes con todo el fútbol, fibra, móvil y televisión por 42 euros al mes
En Xataka Móvil | Cómo ver las contraseñas WiFi guardadas en el móvil
Ver 2 comentarios