Agujero de seguridad en WhatsApp para Android permite a Hackers robar sus conversaciones

Como parte de lo que es fundamentalmente un problema de seguridad de Android, un director de tecnología y consultor ha descubierto una vulnerabilidad en el cifrado de WhatsApp que podría permitir a otra aplicación para acceder y leer todas las conversaciones de chat de un usuario en su interior.

Se trata de Bas Bosshert, el CTO de Double Think, quien ha publicado su propio método para acceder a los chats de WhatsApp, y confirma que la vulnerabilidad sigue existiendo a pesar de la gran actualización de Android mas reciente.

Así es como funciona:

WhatsApp para Android, almacena las conversaciones en la tarjeta SD del teléfono, la cual es accesible para otras aplicaciones dentro del teléfono, siempre y cuando el usuario de esas aplicaciones de permiso cuando se lo han pedido (muchas de las aplicaciones piden acceso completo al teléfono). Este es un tema de infraestructura para Android, más que un fallo de seguridad abierta por parte de WhatsApp.

A partir de ahí, una aplicación maliciosa puede acceder a la base de datos de conversación WhatsApp. Usuarios inteligentes se darían cuenta que esto no es en sí un Hack, pero es un problema con el sistema de administración de datos de Android el Sandbox).

Bosschert construyo una aplicación complementaria para probarlo, y se utilizó una pantalla de carga vistosa para distraer al usuario mientras los datos se estaban cargando.

En versiones recientes, WhatsApp ha comenzado con el cifrado de la base de datos hasta el punto en que no pueden ser abiertos por SQLite, pero Bosschert informa que él puede descifrar la base de datos con su script de Python.

Facebook seguramente tendrá que mejorar la seguridad en WhatsApp en los siguientes meses tras la adquisición de este por 19 mil millones. Pero esto trae a la mente por enésima vez preguntas persistentes de preocupación sobre la infraestructura de Android.

En Android, cualquier aplicación que tiene acceso completo al Smartphone – muchas de ellas lo hacen – se puede acceder a los datos de otras aplicaciones y subirlo a terceros.

En comparación, Apple no permite el acceso a datos fuera del propio SandBox de una aplicación, que permita a los desarrolladores maliciosos jugar con los datos a través de una aplicación ficticia como la descrita anteriormente.

 

Soy desarrollador y fanático de la playa, actualmente trabajo para una gran empresa a tiempo completo en México. En mis tiempos libres los dedico a escribir tutoriales o reseñas, además de compartir recursos que puedan ser de utilidad. galvaroe@pixelg.org