El investigador de seguridad Tobias Boelter ha descubierto un error en el sistema de comunicaciones. El cifrado utilizado por WhatsApp permite a un agente de terceros, posiblemente Facebook, interceptar los mensajes cifrados.
Boelter en sus hallazgos publicados en su blog en abril el año 2016, a pesar de resultado alarmante del problema, Facebook dijo al investigador que esto no fue un gran problema. La respuesta exacta fue: "Nos quedamos con anterioridad al tanto del problema y podrían cambiar en el futuro, pero por ahora no es algo que estamos trabajando activamente en el cambio."
Después de meses durante los cuales el trabajo del investigador fue completamente ignorado, hoy el tema entró en el ojo del público después de muchos medios de noticias corrieron titulares de nombres alarmistic el error "puerta trasera".
¿Cómo se comporta el bug WhatsApp
Con el fin de entender cómo funciona el bug, es necesario entender cómo funciona el cifrado WhatsApp.
Cuando dos usuarios de WhatsApp quieren hablar entre sí, envían sus claves de cifrado públicas al servidor de WhatsApp, que a su vez las transmite a la otra.
Cuando el usuario Alice quiere enviar un mensaje a Bob, que encripta su mensaje con la clave pública de Bob y lo envía al servidor de WhatsApp, para retransmitir a Bob.
Boelter dice que el servidor de WhatsApp puede sostener este mensaje e inmediatamente anunciar que Bob ha cambiado su clave pública y que Alice debe utilizar una nueva clave pública.
WhatsApp cliente de Alice volverá a cifrar el mensaje enviado previamente, y volver a enviarlo al servidor de WhatsApp.
Este comportamiento permite que el servidor de WhatsApp pueda leer el mensaje cifrado previamente, al mismo tiempo que envía el mensaje original a Bob, cifrada con la clave pública original.
De acuerdo con Boelter, el problema aquí es que cuando el cliente WhatsApp dice a Alicia que Bob ha cambiado su clave pública. Esta actualización debe pasar entre los pasos (whatsaapp alice y servidor whatsapp y viceversa), y nunca después.
Boelter explica este comportamiento a sí mismo en una presentación rápida en la 33 Chaos Communication Congress, celebrado en Alemania antes de la víspera de Año Nuevo. Aunque la charla es en ingles viene ilustrada con presentaciones que hacen que sea muy comprensible la charla.
Tras una intensa cobertura de la actualidad de los hallazgos de Boelter, varios expertos en seguridad y periodistas de infosec ahora están disputando cómo los medios de comunicación han retratado esta vulnerabilidad como una puerta trasera.
Frederic Jacobs, uno de los gurús de cifrado que trabajan para Sistemas Abiertos Whisper (app) de la señal David Wind, un cazador de errores y criptógrafo, Martin Kleppmann, un ex ingeniero de LinkedIn, Zack Whittaker, reportero infosec ZDNet; Nadim Kobeissi, un experto criptógrafo y la seguridad, Matthew Green, profesor asistente y criptógrafo de la Universidad Johns Hopkins, Lorenzo Franceschi-Bicchierai, un reportero de infosec para Vice Noticias; y La Grugq, un investigador de seguridad, todos dicen que esto es sólo es un error de aplicación.
Todos admitieron que esto era un mal bug al tener en una aplicación que pretende ofrecer comunicaciones cifradas, pero esto no es algo que podría ser explotado de manera fiable para interceptar mensajes. De hecho, la técnica sólo se puede utilizar para interceptar un mensaje, antes de la víctima es alertado de que la clave pública de la otra persona ha cambiado.
Boelter dijo que este problema no afecta a la aplicación de signal. La aplicación de signal se basa en el protocolo de signal, utilizado por Facebook para el cifrado de WhatsApp, y desarrollado por Open Whisper Systems.
