WhatsApp es, con diferencia, una de las aplicaciones más empleadas por los usuarios en todo el mundo. Son más de 1.500 millones de perfiles registrados y la herramienta indispensable en las comunicaciones digitales. Por eso no deja de ser preocupante los momentos en los que producen desconexiones y, por supuesto, fallos técnicos.
La app implementó hace dos años, y después de otros tantos de críticas, un sistema de seguridad de extremo a extremo que promete una gran seguridad de las conversaciones.
Pero los ciberdelincuentes son hábiles. Encuentran siempre alguna manera de penetrar a los sistemas.
Una investigación de la firma de seguridad Symantec ha descubierto pruebas de una importante vulnerabilidad que permite a una persona malintencionada pueda manipular las imágenes y vídeos enviados antes de que llegue a su destinatario.
Este fallo de seguridad, denominado «Media File Jacking», afecta a WhatsApp para Android de forma predeterminada y a Telegram para Android si ciertas funciones están habilitadas. También permite también modificar los archivos de audio.
Este problema afecta únicamente a las versiones de dispositivos móviles Android, el sistema operativo más extendido del mundo. Se trata de un ataque de tipo secuestro de imágenes y se produce, según los investigadores, por el sistema implementado por este servicio digital a la hora de almacenar los archivos.
Ambas aplicaciones guardan las imágenes recibidas por los usuarios sin una cadena de identificación que informe si han sido alteradas por una aplicación de terceros.
Es una oportunidad que, bien explotada, puede sembrar la confusión entre los usuarios. Los investigadores explican que el fallo se debe al tiempo que transcurre entre el momento en que los archivos se reciben y cuando se cargan en la interfaz de chat de las aplicaciones para que los usuarios las consuman.
Es decir, el momento en el que los usuarios solicitamos la orden de descargar la imagen para verla se puede interceptar y, por tanto, puede correr en riesgo la privacidad de las personas.
Este lapso de tiempo crítico presenta una oportunidad para que ciberdelincuentes intervengan y manipulen los archivos multimedia sin el conocimiento del usuario.
Si se explota el fallo de seguridad, un atacante podría manipular información confidencial, como fotos y videos personales, documentos corporativos, facturas y notas de voz», aseguran Yair Amit y Alon Gat, autores de la investigación, en un comunicado.
Los expertos creen que aunque el cifrado de extremo a extremo es un mecanismo eficaz para garantizar la seguridad de las comunicaciones, no es suficiente este sistema si existen vulnerabilidades en el código de programación.
Lo que descubrimos en la investigación es que los atacantes pueden manipular con éxito archivos multimedia aprovechando los fallos lógicas de las aplicaciones, que se producen antes o después de que el contenido se haya cifrado», añaden los investigadores.
De forma predeterminada, WhatsApp almacena los archivos multimedia recibidos por un dispositivo en un almacenamiento externo en la siguiente ruta: / storage / emulated / 0 / WhatsApp / Media.
En Telegram, si un usuario habilita la función «Guardar en la galería», asumiendo que es seguro y sin comprender sus ramificaciones indirectas, la «app» almacenará el contenido de los archivos de manera similar en: / storage / emulated / 0 / Telegram /. El problema, subrayan los investigadores, es que ambos son directorios públicos: «las aplicaciones cargan los archivos recibidos de los directorios públicos para que los usuarios los vean en la interfaz de chat cuando ingresan al chat correspondiente», apuntan.
Por tanto, el hecho de que los archivos se almacenan y se cargan desde el almacenamiento externo sin los mecanismos de seguridad adecuados se pueden poner en riesgo la integridad de los archivos multimedia.
Si el atacante accede primero a los archivos (esto puede suceder en tiempo real si un «malware» monitoriza los directorios públicos para detectar cambios), los destinatarios verán los archivos manipulados antes de ver los originales.
Además, la miniatura que aparece en la notificación que ven los usuarios también mostrará la imagen o el archivo manipulados, por lo que los destinatarios no tendrán ninguna indicación de que se hayan cambiado los archivos. Los expertos creen que, para evitar este posible problema, es más conveniente guardar las imágenes en algún servicio de almacenamiento en la «nube» o en el propio dispositivo.
Otros expertos creen que el fallo no es demasiado grave pero que, una vez más, demuestra el impacto de los permisos de usuarios en las aplicaciones más populares. «El funcionamiento del fallo se basa en permisos de usuario.
Cada app tiene acceso solamente a sus ficheros. Lo que pasa es que si tú uno de esos ficheros -una foto que te llega de otro contracto– si la dejas en el carrete de fotos, todas las app que tengan acceso al carrete tendrán acceso a las fotos.
El «bug» demuestra, claramante, por qué es necesario acotar el acceso a según qué permisos de aplicaciones», apunta a este diario Lorenzo Martínez, experto en seguridad de Securízame.
