Pável Dúrov, un dels creadors de Telegram, no perd ocasió de dir-ho sempre que pot: WhatsApp està ple de bretxes de seguretat (podeu llegir AQUÍ el vostre manifest). Sense arribar als extrems de Pável, que considera l'app de missatgeria de Facebook un troià en tota regla, la veritat és que WhatsApp és tot un caramel per als hackers: l'utilitzen milers de milions de persones i, per tant, la repercussió de les seves accions solen tenir un abast global.
5 tècniques amb què un ciberdelinqüent podria arribar a hackejar un compte de WhatsApp
Deixant de banda tots els problemes de seguretat que pugui tenir WhatsApp (i entenent que aquests problemes se solucionen mitjançant actualitzacions de l'app), el cert és que hi ha diverses formes en què la integritat i la privadesa de les nostres converses poden queden en dubte. Aquestes són algunes de les més destacades.
1- L'execució de codi remot mitjançant un GIF
Fa tot just un mes, l'octubre del 2019, l'investigador en seguretat “Awakened” explicava en un post de Github com havia detectat una fallada de seguretat a WhatsApp per a Android que permetia als hackers prendre'n el control mitjançant l'enviament d'un simple GIF.
El hack s'aprofita de com WhatsApp processa les imatges: quan el sistema intenta mostrar la previsualització d'un GIF, aquest analitza el GIF complet en lloc d'escollir únicament la primera imatge. Com que els fitxers GIF són una seqüència d'imatges una darrere l'altra, això permet al hacker introduir codi entre una imatge i una altra. Què és el que passa aleshores? Que quan WhatsApp intenta fer la previsualització del GIF que ha enviat el hacker, en analitzar el “paquet complet” del GIF (imatges+codi entre mitges), l'usuari queda infectat sense ni tan sols arribar a obrir el GIF en qüestió.
Per sort, segons comenta el mateix Awakened, després de notificar el problema a Facebook aquest ha estat solucionat mitjançant un patch en una recent actualització (més concretament, a la versió 2.19.244 de WhatsApp per a Android).
2- Atacs d'enginyeria social
Els atacs d'enginyeria social aprofiten la psicologia humana per robar informació o estendre crits i fake news. Aquesta bretxa de seguretat que comentem a continuació va ser descoberta per Check Point Research, i s'aprofita de la funció de “citar” utilitzada a WhatsApp per contestar o enviar una rèplica a un missatge concret d'un xat.
El truc bàsicament consisteix a contestar un missatge però modificant el text del remitent. Per això es fa ús de la versió web de WhatsApp per desencriptar els missatges utilitzant el descodificador Burp com a intermediari. En aquest petit vídeo explicatiu podem veure'n el funcionament més clarament.
Tot i que aquesta vulnerabilitat va ser descoberta el 2018 encara no s'ha implementat cap pegat per solucionar el problema, segons indica ZDNet a AQUEST POST d'agost del 2019.
3- La trucada de veu Pegàs
Aquest és un atac que es fa mitjançant la realització d'una trucada de veu a través de WhatsApp. El més aterridor de tot és que ni tan sols cal que contestem a la trucada, podent infectar l'usuari sense que aquest ni tan sols arribi a assabentar-se'n.
El mètode utilitzat per a aquest atac és el que es coneix com a “stack overflow”, i consisteix a introduir una gran quantitat de codi en un petit buffer, de manera que es desborda i acaba escrivint aquest codi en llocs on no hauria de poder accedir-hi.
En aquest cas, el hacker introdueix un codi maliciós anomenat “Pegasus” el qual és capaç d'accedir als missatges, trucades, fotos i vídeos de la víctima.
Aquest atac va ser utilitzat per una companyia israeliana, acusada d'espiar organitzacions com Amnistia Internacional i altres grups d'activistes a favor dels drets humans. WhatsApp ja va apedaçar l'aplicació per evitar aquest tipus d'atacs, però si tens una versió de WhatsApp per a Android anterior a la 2.19.134, o una versió anterior a la 2.19.51 a iOS, el millor és que actualitzis com més aviat millor.
4- El truc del canvi
Aquest altre tipus d'atac es coneix com el “segrest d'arxius multimèdia”, que aprofita una vulnerabilitat present a la majoria d'apps de missatgeria, com WhatsApp i Telegram.
Aquí el hacker insereix el codi maliciós dins d'una aplicació en principi inofensiva, i un cop la víctima l'ha instal·lada, es quedaria a l'escolta. Així, quan l'usuari rebi una foto o vídeo per WhatsApp i aquesta vagi a la Galeria, l'app seria capaç de captar el fitxer entrant i substituir-lo per un altre fitxer completament diferent.
Segons indica Symantec, aquest és un engany que es pot utilitzar per estendre notícies falses i fomentar la desinformació. En qualsevol cas, es tracta d'un “hack” que podem prevenir fàcilment entrant als ajustaments de WhatsApp, a “Configuració -> Xats” i desactivant la pestanya “Visibilitat d'arxius multimèdia”.
5- Hola, Facebook…estàs aquí?
Per finalitzar, tampoc no podem tancar aquest post sense esmentar el mateix Facebook. Encara que WhatsApp utilitza encriptació d'extrem a extrem per protegir el contingut de tot allò que enviem per WhatsApp, no són poques les veus que opinen que la companyia de la gran F podria estar espiant part de les converses.
Això és perquè, tal com indica el desenvolupador Gregorio Zanon, encara que WhatsApp utilitza encriptació d'extrem a extrem, en versions d'iOS 8 i superiors, les apps utilitzen el que es coneix com a “contenidors compartits” on poden accedir a certs fitxers .
Tant Facebook com WhatsApp utilitzen el mateix contenidor compartit als dispositius. I encara que a l'hora de la veritat els xats s'envien perfectament encriptats a través de l'aplicació, això no vol dir que aquests es trobin encriptats al dispositiu d'origen.
Ha de quedar clar, això sí, que no hi ha cap evidència que Facebook estigui llegint missatges privats de WhatsApp (encara que potencialment tingui la possibilitat de fer-ho). És més, la companyia sempre ha posat especial èmfasi en protegir la privadesa de l'usuari, a través de la seva política de privadesa i mitjançant publicacions com ESTA al bloc oficial de l'aplicació.
Tens Telegram instal·lat? Rep el millor post de cada dia a el nostre canal. O si ho prefereixes, assabenta't de tot des de la nostra pàgina de Facebook.