Vulnerabilidades en Whatsapp

Algo tan sencillo como hacer las cosas bien debería de ser la premisa de una aplicación tan ampliamente difundida como lo es Whatsapp.

Y es que según leo en Hispasec el programa de mensajería más extendido para dispositivos móviles adolece de vulnerabilidades bastante serias:

Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.

La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.

El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.

Los mensajes no cifrados no es algo nuevo, desde que Whatsapp existe es así y la propia empresa lo único que tiene que decir al respecto es que los responsables de proteger lo que envían son los propios usuarios.

Como informan en Hispasec de todas las vulnerabilidades señaladas tan solo han “resuelto” la segunda limitando a 10 los intentos para el envío del código.

Lo peor de esto es que se pueden dar dos casos, uno en el que los usuarios pasen del tema (lo más seguro será esto) y otra que cunda el pánico cuando algún espabilado le robe la cuenta a otro menos espabilado.

La polémica está servida.

Comments are closed.