Archivo del foro de PucelaBits del Friday November 17, 2023.

El bug de Whatsapp explicado

nukeador

Tobias Boelter nos explica el problema de seguridad de Whatsapp que tanto bombo ha tenido esta semana. Bueno en realidad lo contó en ABRIL del año pasado:

https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/

Básicamente el problema:

  • Tienes el teléfono sin conexión (modo avión o apagado)
  • Alguien te manda un mensaje (quedará con un tick y cifrado en los servidores de whatsapp)
  • Alguien podría darse de alta en whatsapp con tú numero (usando desde clonado de tu tarjeta, como secuestro de sms)
  • El atacante se conecta a tu whatsapp y el cliente de whatsapp de la persona que te mandó mensajes forzaría a reenviar estos mensajes con la nueva clave de cifrado (del atacante) sin ningún aviso.
  • Después de enviarlos avisaría que las claves han cambiado (sólo si tienes el aviso activado)

Con lo cual el problema no se soluciona simplemente activando el aviso de cambio de claves (que por cierto no viene activo por defecto).

Signal por ejemplo te avisa antes de re-enviar que las claves han cambiado y puede haber sido comprometido.