Hackeo a Whatsapp muestra que aún las aplicaciones cifradas son vulnerables en un navegador

Cuando WHATSAPP cambió el cifrado de extremo a extremo para sus más de mil millones de usuarios el año pasado, el movimiento anunció una nueva era para las aplicaciones de mensajería, en donde prácticamente todas las escuchas representan el nuevo estándar de seguridad. Pero un par de nuevos ataques a las versiones web de esos mensajeros “seguros” muestra cómo sólo unas pocas líneas de código inseguro pueden socavar incluso el cifrado más hermético, especialmente cuando se ejecutan en su navegador.

El miércoles, la empresa de seguridad israelí Check Point reveló una nueva técnica que la compañía dice que podría pasar por alto el cifrado de extremo a extremo de WhatsApp, ocultando el código HTML en una imagen aparentemente inofensiva. Si un usuario hace clic en él mientras usa la versión web de la aplicación, el código se ejecuta en el navegador de la víctima, obteniendo acceso completo no sólo a los mensajes del destino, sino a las fotos y vídeos compartidos, así como a su lista de contactos. Check Point también reveló un ataque similar en la versión web de Telegram-otra aplicación que anuncia cifrado de extremo a extremo -que los investigadores dicen que puede ocultar código malicioso en un video que un usuario abre en una nueva pestaña.

Más débiles en la Web

Mientras que ambas compañías corrigieron los errores con actualizaciones rápidas, la vulnerabilidad puede haber dejado a millones de usuarios abiertos a espías cripto-evasivos. Y los investigadores de seguridad dicen que los ataques apuntan a vulnerabilidades inherentes en las versiones web de cualquier mensajero seguro. Cuando la privacidad cuenta, el teléfono inteligente es un terreno más seguro.

“Desafortunadamente, esto pone de relieve una debilidad específica de las aplicaciones web”, dice Nadim Kobeissi, fundador de la consultora de criptografía aplicada Symbolic Software. Kobeissi ha alabado en el pasado la facilidad de uso de las aplicaciones de criptografía basadas en la web. Pero reconoce que las conclusiones de Check Point son un fuerte ejemplo de por qué esas aplicaciones web son propensas a formas de ataque que las aplicaciones móviles no lo son. “Es un poco desgarrador tener que decir esto, pero si eres alguien en una situación precaria y te preocupas por tu seguridad, te recomendaría usar WhatsApp en un iPhone”, dice.

Los ataques de Check Point se aprovechan de fallas en la forma en que las dos aplicaciones realizan la “validación de entrada”, el proceso que asegura que una imagen o video es el tipo de archivo que parece ser más bien que un código que ejecutaría comandos potencialmente peligrosos en la víctima navegador. “Cada aplicación web, ya sea Facebook o una aplicación bancaria, tiene que asegurarse de que cualquier cosa que ingrese como entrada o que cargue es el tipo de tipo de archivo que están permitiendo”, dice Oded Vanunu, un investigador de seguridad en Check Point . “Una vez que consigas evitar esa validación, se acabó el juego. El navegador ejecutará lo que se le dé “.
Es una forma de ataque a la que las aplicaciones web son particularmente vulnerables, sostiene Kobeissi. Señala que en un navegador web, los componentes responsables de procesar diferentes tipos de datos -ya sea una imagen, un video o los comandos ejecutables- son menos distintos y aislados que en un sistema operativo típico. Y el lenguaje basado en web Javascript permite la compilación “just-in-time” del nuevo código, esencialmente la capacidad de recibir nuevos datos que agregan o incluso sobrescriben la funcionalidad en una aplicación, mientras que las aplicaciones móviles o de escritorio tienen que ser compiladas antes instalación. “Es por eso que estas vulnerabilidades funcionan y por qué resaltan una debilidad particular en las aplicaciones web”, dice Kobeissi.

Casos especiales

Eso no significa que los errores basados en la web como el que Check Point descubrió son una ocurrencia cotidiana. Vanunu y Kobeissi de Check Point sostienen que el punto de comprobación de vulnerabilidad de WhatsApp encontrado representa una falla rara y excepcionalmente seria. “No es una nueva clase de ataque”, señala Kobeissi. “Pero esto es impresionante y listo.”

WhatsApp señaló en una declaración que se había dirigido a la falla Check Point descubierto en menos de un día desde que la empresa fue notificada. No obstante, instó a los usuarios a reiniciar sus navegadores para asegurarse de que están protegidos. Telegram ofreció más resistencia a los hallazgos de Check Point, contrarrestando que el ataque sólo funciona cuando una víctima hace clic en un video que ya está jugando en Chrome y lo abre en una nueva pestaña. “Como puedes ver, el ataque contra Telegram requirió una interacción muy inusual del usuario para tener éxito”, escribe el portavoz de Telegram, Markus Ra. Ra llamó la cuestión de seguridad de Telegram “varias órdenes de magnitud menos severa” que la de WhatsApp.

Sin embargo, los investigadores de seguridad que siguen las noticias argumentan que hace un punto más amplio sobre la relativa fragilidad de las aplicaciones cifradas de navegador en comparación con las que se ejecutan en los sistemas operativos tradicionales. Zeynep Tufekci, un profesor de información y biblioteconomía centrado en la privacidad y la vigilancia en la Universidad del Norte, dijo: “Las personas, especialmente aquellas que trabajan en profesiones sensibles a la seguridad … no usan versiones de navegadores” de mensajeros cifrados de extremo a extremo. Carolina. “Las aplicaciones de teléfono cifradas son para tu teléfono.”

Para aquellos que ven mensajes cifrados como un simple bono de privacidad, en otras palabras, no es necesariamente el momento de jurar aplicaciones de mensajería basadas en la web. Pero para aquellos que necesitan la codificación de extremo a extremo

 

Fuente: Wired.com

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s