A pesar de su popularidad, la seguridad de WhatsApp (o más bien la falta de ella) es uno de los temas recurrentes que, de vez en cuando, vuelven a acaparar titulares. El último en denunciar en público este problema ha sido Bas Bosschert, un ingeniero informático holandés con mas de diez años de experiencia trabajando en estos temas. Según Bosschert, algunas aplicaciones de Android podrían leer tu historial de mensajes de WhatsApp sin que tú te enteres.
Tal y como explica "en su blog":http://bas.bosschert.nl/steal-whatsapp-database/#more-1, la base de datos de WhatsApp se almacena en la tarjeta SD de los terminales Android. Una aplicación que tenga permisos para acceder a la SD no tendría mucha dificultad en hacer una copia y enviarla remotamente a un atacante cotilla que quiera saber todo lo que hablamos utilizando la popular app de mensajería.
Los detalles técnicos, así como el código concreto de la aplicación de muestra que Bosschert ha utilizado, podéis consultarlo directamente en su artículo. Para el usuario, el proceso es totalmente transparente: en la demo que han hecho, se muestra una pantalla de carga como la que utilizan muchas otras apps. Sin embargo, en este caso no están cargando otros recursos, sino que la aplicación maliciosa está aprovechando ese tiempo para hacer una copia del historial de WhatsApp y almacenarla en el servidor del atacante.
Bosschert continúa explicando que la base de datos de WhatsApp utilizan el sistema SQLite3. En teoría, esta información se guarda cifrada en las últimas versiones de la app, pero "podemos descifrarla simplemente utilizando un sencillo script de phyton", según Bosschert. La clave se puede obtener de WhatsApp Xtract. Por ahora, WhatsApp no se ha pronunciado sobre este tema.
Una más, y van...
Esta noticia se produce justo poco después de que Jan Koum, CEO de WhatsApp, respondiera a dos investigadores españoles que decían ser capaces de enviar mensajes falsos (es decir, con el origen que queramos) desde un servidor a cualquier usuario. En declaraciones a Softonic, Koum asegura que la falsificación no se produce en su propio servidor, algo que es así pero con matices: el hack se produce al interceptar el mensaje justo tras su paso por el servidor de WhatsApp.
De momento, y a pesar de la compra por parte de Facebook, desde WhatsApp no parecen demasiado interesados en centrarse en mejorar la seguridad y privacidad en su aplicación. En su última actualización para Android incluyen por fin la posibilidad de ocultar la fotografía y la última conexión, pero parece que no hay más avances respecto a la seguridad de la información del usuario.
Enlace | "Bas Bosschert":http://bas.bosschert.nl/steal-whatsapp-database/#more-1 Vía | "Business Insider":http://www.businessinsider.com/crucial-whatsapp-security-issue-2014-3?op=1 En Xataka Móvil | "WhatsApp, Telegram y ChatON ayudan sin quererlo a algunas apps de malware para Android":https://www.xatakamovil.com/seguridad/whatsapp-telegram-y-chaton-ayudan-sin-quererlo-a-algunas-apps-de-malware-para-android
Ver todos los comentarios en https://www.xatakamovil.com
VER 41 Comentarios