¿Puede un empleador acceder a los mensajes de Whatsapp si está usando sus servidores?

Navega tus respuestas
10

¿Alguien sabe si un empleador puede acceder a los mensajes de Whatsapp si está usando sus servidores? Whatsapp aparentemente dice que los mensajes están encriptados, pero no estoy seguro de esto.

    
pregunta secunda 12.01.2013 - 01:55
fuente

4 respuestas

14

El siguiente trabajo de investigación describe cuatro ataques en WhatsApp. No sé si han sido arreglados.

Ataque de suplantación. Un ataque permite que un atacante se haga pasar por otra persona. En particular, si el atacante tiene un número de teléfono particular en mente (el número de teléfono de la víctima), el atacante puede registrarse para ese número de teléfono y recibir todos los mensajes de WhatsApp que podrían haber sido destinados a ese número de teléfono. Ver la Sección 5.2 del documento.

Esto puede ser relevante para ti.

Ataque de spam por SMS. Un segundo ataque permite a un atacante enviar mensajes de texto arbitrarios a cualquier persona del mundo, de forma gratuita, desde los servidores de WhatsApp. Ver la Sección 5.4 del documento.

Ataque de enumeración de número de teléfono. Un tercer ataque permite a un atacante enumerar los números de teléfono de otros usuarios de WhatsApp e identificar el sistema operativo que están utilizando. Ver la Sección 5.5 del documento.

Ataque de falsificación de mensaje de estado. Un cuarto ataque permite a un atacante cambiar cualquier mensaje de estado de cualquier otro usuario de WhatsApp a cualquier cosa que elija el atacante. Vea la Sección 5.6 del documento.

Implicaciones. Ninguno de estos aborda directamente la pregunta particular que hizo. Sin embargo, estas vulnerabilidades disminuyen mi confianza en la seguridad de WhatsApp.

Las vulnerabilidades descritas en el documento son fallas extremadamente básicas y elementales. Estamos hablando de territorio de facepalm. Las fallas incluyen, por ejemplo, una completa falta de control de acceso o autenticación; así como la confianza inapropiada en el cliente. (Básicamente, violaciones de OWASP A3, A8 y A9). Por supuesto, cualquiera puede cometer errores, pero estos son errores tan básicos que me hacen preguntarme qué otro errores pueden haber cometido los desarrolladores de WhatsApp, y qué tiene de malo el proceso de revisión de seguridad de WhatsApp en el que se deslizaron. despliegue.

Por lo tanto, según este análisis, me resistiría a confiar demasiado en la seguridad de WhatsApp.

    
respondido por el D.W. 12.01.2013 - 07:35
fuente
1

WhatsApp es un sistema de mensajería bastante popular según los medios:

  

WhatsApp maneja diez mil millones mensajes por día a partir de agosto de 2012

     

Financial Times : WhatsApp "ha hecho a SMS en el móvil   llama por teléfono lo que Skype hizo a las llamadas internacionales en líneas fijas.

Es compatible con el cifrado y, aunque tiene un número de incidentes de seguridad , esperaría que la seguridad fuera alta y los incidentes similares a los anteriores pueden ser transitorios y gestionados por la empresa.

Hay un caso especial cuando tus mensajes pueden estar en riesgo. Es decir, si su teléfono o computadora en la que está utilizando WhatsApp está siendo administrada por su empleador . Entonces, si tiene un teléfono inteligente provisto por su empleador, entonces sus mensajes podrían ser interceptados.

En conclusión, creo que la privacidad del mensaje de Whatsapp es confiable. Debería preocuparse más por la seguridad de su teléfono. Los teléfonos inteligentes Android no están especialmente actualizados con parches.

    
respondido por el Cristian Dobre 12.01.2013 - 02:16
fuente
1

Este artículo considera que el cifrado de Whatsapp es demasiado débil y que la empresa no puede manejar los problemas de seguridad:

enlace

Este artículo dice que la autenticación del remitente ahora es más robusta, pero persisten los problemas de privacidad:

enlace

    
respondido por el nicko 24.04.2013 - 14:58
fuente
0

Haga la siguiente prueba en su dispositivo móvil y al menos puede estar seguro de que su dispositivo no puede ser monitoreado de esa manera.

  1. vaya a enlace
  2. Haga clic en el bloqueo de https en el navegador

Si se emite a Google Internet Authority G2 , entonces https no se ha penetrado o MITMA (Man In The Middle Attack) empleado. Si hay otro nombre como el nombre de su empresa, es posible que puedan penetrar en el tráfico https.

    
respondido por el Vivo 07.03.2015 - 18:44
fuente

Lea otras preguntas en las etiquetas

¿Se debe borrar el campo de la contraseña después de un intento de inicio de sesión fallido? Asegurando una API REST: ¿api_secret está firmando y es suficiente con SSL?