WhatsApp revela fácilmente un dato demasiado personal sobre tu dispositivo
Los expertos en ciberseguridad de la empresa de billeteras cripto Zengo han encontrado una debilidad en WhatsApp, la app de mensajería de Meta, por la que un hacker podría llegar a conocer qué sistema operativo utiliza el dispositivo desde el que estamos usando la aplicación, así como aspectos de su configuración.
Según ha explicado Tal Be’ery, investigador de seguridad, «WhatsApp expone, por diseño, cierta información sobre los dispositivos utilizados por sus usuarios a cualquier usuario de la plataforma y no proporciona ningún control ni configuración que permita a los usuarios controlar esta exposición (incluso bloquear a un usuario no lo soluciona)», escribe Be’ery en su blog.
Esta información puede extraerse a partir de la clave de cifrado que se añade a los metadatos de los mensajes, y tiene que ver con cómo la app gestiona su sistema multidispositivo. Con estos datos, un atacante puede conocer cuántos y qué tipo de dispositivos usamos para entrar en WhatsApp.
Y es que cada una de estas claves se genera de forma distinta dependiendo del dispositivo:
- En dispositivos Android, se crea un ID de 32 caracteres.
- En teléfonos iPhone, se usa un prefijo de 20 caracteres que va detrás de cuatro caracteres adicionales.
- En la aplicación de escritorio de WhatsApp para Windows, se crea un ID de 18 caracteres.
Esto es peligroso porque, si un atacante tiene acceso de algún tipo a comunicaciones vía WhatsApp con la víctima, podría usar esta información para enviar malware especializado al dispositivo de la víctima, que pueda afectar de manera específica a un ordenador Windows, a un teléfono Android o a un PC macOS, por ejemplo.
En concreto, advierten que un ciberdelincuente podría obtener información sobre:
- El número de dispositivos del usuario: el usuario de WhatsApp debe tener un dispositivo móvil principal y hasta cuatro dispositivos complementarios no móviles (aplicación de escritorio, Web).
- Los identificadores a largo plazo de los dispositivos: a cada dispositivo se le asigna un ID de WhatsApp único e inmutable que está expuesto a posibles remitentes, que permite la monitorización e identificación continuas del dispositivo activo.
- La identificación básica del tipo de dispositivo: si el dispositivo es el dispositivo móvil principal o uno de los cuatro dispositivos complementarios no móviles (aplicación de escritorio, Web).
En palabras de Tal Be’ery, esta información «puede permitir a los atacantes obtener información necesaria sobre sus víctimas, como la cantidad de dispositivos, los cambios en la configuración al monitorear estos datos a lo largo del tiempo y qué mensaje fue enviado por qué dispositivo (incluidos los reconocimientos y confirmaciones de lectura)».
Meta, consciente del problema
Desde Zengo han advertido a Meta sobre los hallazgos de su investigación, y explican que desde Meta confirmaron conocer esta circunstancia el pasado 17 de septiembre.
Desde entonces no se han pronunciado al respecto, por lo que se desconoce si están trabajando en poner una solución o si, por el contrario, consideran este hecho como un problema menor, en tanto que WhatsApp utiliza un protocolo de cifrado (E2EE) para proteger sus comunicaciones y el simple hecho de conocer esta información no implica que alguien pueda infectarnos con malware por sí mismo.