Se ha descubierto un fallo intencionado en WhatsApp mediante el cual se podría facilitar una puerta trasera a actores poderosos como organismos gubernamentales o fuerzas de seguridad para acceder a nuestras conversaciones cifradas en un servidor en la nube.
A pesar del avance que ha existido relativo a la seguridad de nuestras conversaciones en Internet, gracias sobre todo al estreno de la función de cifrado extremo a extremo, las cosas distintas cuando gobiernos o fuerzas de seguridad quieran acceder a nuestros chats privados. Precisamente WhatsApp no es el mayor ejemplo de seguridad, y más tras descubrirse un curioso fallo intencionado.
El usuario de reddit crawl_dht ha descubierto un fallo intencionado en WhatsApp, que permitirá que gobiernos o fuerzas del orden puedan acceder a nuestras conversaciones almacenadas en la nube. No sería la primera vez que se sospecha que WhatsApp crea una serie de fallos de seguridad intencionados para contentar a los gobiernos, una especie de “traseras” que ayudarían a entes poderosos a acceder a nuestras conversaciones sin nuestro consentimiento.
El fallo deriva de que todas las conversaciones cifradas se suben a la nube, sea Google Drive en Android o bien a iCloud en iOS. Si bien todas estas conversaciones se suben cifradas, el problema es que no quedan almacenadas en nuestro dispositivo, sino en la propia nube de Apple o Google, curiosamente empresas norteamericanas. Todas estas conversaciones almacenadas están cifradas mediante la clave de tipo AES-GCM-256 que si bien es bastante fuerte, ya no sería responsabilidad del usuario al estar en servidores externos.
Esto haría que los distintos gobiernos o Con herramientas propias, pueden descifrar todas estas claves y hacerse con nuestras fuerzas conversaciones.
Cuando el cliente registra un nuevo teléfono, lo que hace la aplicación es recoger dicha clave almacenada en el servidor y usarla para descifrar la copia de seguridad y así habilitar la aplicación en nuestro nuevo dispositivo. Todas estas claves, incluidas las antiguas, se siguen almacenando en los servidores al olvido del usuario, pero al alcance de otros actores.
A diferencia de Signal, otra aplicación popular en lo que respeta a seguridad, si bien usa igualmente el cifrado AES-GCM -256, aquí es el propio usuario el que se queda con la contraseña de acceso. Veremos si finalmente WhatsApp se pronuncia al respecto del descubrimiento.
[Vía: reddit]
Deja una respuesta