Enviar URLs por WhatsApp deja al descubierto información de los usuarios

Software

Antes, WhatsApp permitía a sus usuarios el envío de direcciones URL pero se enviaban como ‘texto plano’, convirtiéndose en un enlace directo que se ejecuta en el navegador web por acción del propio sistema operativo. Y desde hace ya algún tiempo, la app de mensajería instantánea enriquece la URL solicitando metadatos al servidor al que corresponde, de tal manera que aparecen la imagen asociada y también la meta-descripción de la URL. Y esto es un problema para sus comunicaciones seguras, según han podido demostrar.

El servicio de mensajería instantánea WhatsApp se apoya en un sistema de cifrado de extremo a extremo para sus comunicaciones. Es decir, que un mensaje es enviado desde el clientemóvil del emisor- ya cifrado, y pasa por los servidores de WhatsApp con el mismo cifrado, y no se aplican las claves pública y privada para el descifrado del mensaje hasta que no llega al segundo cliente, que es el móvil del receptor. En todo esto, sin embargo, hay una consulta especial que se produce cuando enviamos una dirección URL, y se hace sobre el servidor de la página web a la que corresponde la dirección URL en cuestión.

Un servidor ‘tercero’ puede ver datos de los usuarios de WhatsApp al enviar URLs

Como destapa la imagen del ‘tweet’ anterior, cuando enviamos una dirección URL, WhatsApp hace consultas constantes al servidor al que corresponde esta dirección URL para tomar los metadatos. Estos metadatos son la meta-descripción de la página concreta y también la imagen asociada, si la hubiera. Las consultas constantes se producen sobre el servidor que aloja la información de la URL, y son múltiples porque se piden metadatos por cada letra que introducimos para que no haya fallos y se produzca la ‘descarga’ de la forma más rápida posible. Eso, a priori, produce una carga innecesaria, pero no debería ser perjudicial.

El problema está en la comunicación con servidores terceros, en tanto que las solicitudes se hacen en formato GET y aportando al mismo la dirección IP del cliente –para identificar al mismo- y también desvelando detalles como la versión de Android, por ejemplo, entre otra información. Es decir, que en cierto modo se ve afectada la seguridad de WhatsApp, y con sólo enviar una dirección URL el ‘servidor tercero’ está pudiendo comprobar información privada del dispositivo.

Escrito por Carlos González

Fuente > TechCrunch

Continúa leyendo
  • Comentarista

    No veo motivo para alarmarse tanto, la página web no recoge información muy diferente de la que puede recoger cuando nos conectamos a ella desde un navegador (dirección IP, navegador, SO…).

  • sergio

    Cada vez que visitas una página web, esta puede saber tu versión del SO, la del navegador, el modelo del dispositivo, la IP, etc. ¿Al abrir el url no estaríamos dando esa información igualmente?

    • eoiuijlkg

      Exactamente, estarías dando la misma o más información.

      La noticia se basa en un twit que únicamente se queja de que watsapp hace una petición a la página por cada letra que escribes a medida que tecleas la dirección, en vez de hacer una única petición al final cuando terminas de teclear la URL, y esa es una sobrecarga innecesaria tanto para el servidor como para la conexión del teléfono.

      Curiosamente, ese único problema que menciona el twit, es el problema que ellos consideran irrelevante.

      Toda la noticia restante parece una invención que no tiene lógica. Si la petición para recuperar los metadatos de la página y generar la miniatura parte del teléfono, el servidor va a saber tu ip y normalmente tu SO y otros datos, ese es el funcionamiento normal.

      Lo único que se podría hacer es que el teléfono pasase la URL a los servidores de whatsapp y fuesen ellos los que recuperasen los datos de la página y te los pasasen a ti, pero si la petición parte de tu teléfono y no metes ningún proxy de por medio, ineludiblemente la página va a ver tu IP, ya sea por culpa de whatsapp, por culpa de Chrome o cualquier otro programa y ese es el funcionamiento normal.

      Dicen que “en tanto que las solicitudes se hacen en formato GET” pues claro, esa es la forma normal de solicitar una página.