WhatsApp filtra datos de tus mensajes si compartes enlaces: ¿sirve de algo el cifrado?
WhatsApp es una de las aplicaciones de mensajería más seguras del mundo. Su cifrado de punto a punto hace que sea imposible interceptar un mensaje entre medias por parte de alguien que tenga acceso a nuestra red o al camino que sigue el mensaje hasta llegar al destinatario. Sin embargo, hay información que sí se filtra por la forma en la que está diseñada la app.
WhatsApp filtra información no anonimizada fuera de los chats para generar miniaturas
Así lo ha descubierto un desarrollador de Microsoft, Bertrand Le Roy, a la hora de compartir un vídeo en la aplicación. Si bien sí se están cifrando los mensajes, la app filtra información confidencial.
Todo empezó cuando estaba hablando con un amigo suyo a través de WhatsApp sobre ordenadores portátiles. Él le estaba diciendo lo contento que estaba con el nuevo portátil Dell que había comprado, a la vez que Le Roy también le decía estar contento con el suyo.
@bleroy@mastodon.social Bertrand@bleroyWhatsApp communication are end-to-end encrypted, right?Well, yes, but it still leaks confidential information. Here’s an interesting story that happened to me this morning…
1/
11 de mayo, 2019 • 20:37
927
103
El asunto no tendría mayor trascendencia, si no fuera porque después de la conversación, Le Roy se fue a YouTube, y le apareció un anuncio de un Dell XPS. Esto a primera vista no tiene mucho sentido, porque ¿qué motivo le podría llevar a Facebook a compartir información relevante sobre las preferencias de un usuario con la competencia? Además, sería muy peligroso que ambas empresas tuvieran el mismo perfil de datos para una misma persona, cuando estos suelen ser anónimos e intransferibles.
La realidad es que el amigo le había enviado un enlace a una búsqueda de YouTube que había hecho sobre reviews del portátil que había pedido por Internet. Le Roy ni siquiera había hecho click en el enlace, sino que la única interacción que había tenido con él había sido recibirlo. Sin embargo, WhatsApp sí había interactuado con YouTube para generar la foto de miniatura asociada al enlace.
Y es que, para generar esa miniatura, WhatsApp tiene que enviarle una petición a YouTube. YouTube asocia esa petición al ID único de cada usuario, y por tanto sabe que ese usuario puede estar interesado en el ordenador portátil. Esa información, por tanto, se «filtra» a terceros sin importar si los mensajes enviados por la app están cifrados o el aislamiento que se supone que hay entre aplicaciones en Android. Sin embargo, este sandbox no se respeta, y en lugar de que ese tipo de peticiones estén anonimizadas, están todas asociadas a tu ID de anuncios.
Telegram anonimiza todas las solicitudes para generar miniaturas
Tanta ha sido la repercusión del mensaje, que incluso la cuenta oficial de Telegram ha respondido a la pregunta sobre si ellos también llevan a cabo este comportamiento. En su respuesta, Telegram afirma que las previsualizaciones se crean en el servidor en lugar de en el dispositivo del usuario. Gracias a ello, el dueño de la web cuya miniatura se crea cuenta la visita como una de Telegram, y no de una persona en concreto. Además, en los chats secretos se pregunta la primera vez que se envía un enlace si quieres que se generen previsualizaciones de las imágenes. En el caso de querer desactivarlo posteriormente, eso se puede hacer en los ajustes.
Telegram Messenger@telegram@k4ml @bleroy Telegram link previews are created on the server side. The owner of the website sees this as a visit from the Telegram crawler, not you. In secret chats, we ask you before creating the first preview – and you can later disable previews in settings. https://t.co/ygI1j7i6vo12 de mayo, 2019 • 17:11
45
0