Hace unos días, una vieja "vulnerabilidad" de WhatsApp reapareció en los medios. The Guardian publicó este artículo llamando a la vulnerabilidad una "puerta trasera". El artículo cita estos hallazgos de Tobias Boelter, un investigador de seguridad en UC Berkley.
La "vulnerabilidad" es que WhatsApp retransmite automáticamente los mensajes que un cliente no ha recibido después de que el receptor cambia las claves de cifrado. Al destinatario no se le notifica el cambio de clave y al remitente se le notifica solo si cambian una opción (que está desactivada de manera predeterminada) enterrada en la configuración de la cuenta.
Después de una respuesta bastante general de Facebook / WhatsApp ("No tenemos una puerta trasera"), Open Whisper Systems, el fabricante del protocolo Signal que alimenta el cifrado WhatsApps E2E, ahora responde directamente al artículo en esta publicación del blog . Básicamente, ambos afirman que esto no es una vulnerabilidad sino un problema de UX (ya sea para notificar de manera prominente al usuario el cambio de las claves de cifrado). Tobias Boelter respondió de nuevo en este artículo del blog , diciendo que es una vulnerabilidad que permitiría a un atacante "interceptar conversaciones específicas".
Mi pregunta es: ¿Qué aspecto tiene un ataque en la vida real que explote esta vulnerabilidad?
Creo firmemente que muy poca gente profundiza tres niveles en la configuración de WhatsApp para habilitar las notificaciones de seguridad, así que supongamos que la mayoría de las personas podrían ser atacadas sin ver la advertencia sobre un cambio en las claves criptográficas. Entonces, ¿cómo podría un atacante motivado hacerse cargo de la conversación de WhatsApp de Alice sin que Bob se diera cuenta?
Parece que esto requeriría que el atacante bloquee temporalmente el acceso de Alice a WhatsApp (dejándola sin conexión, dejando los mensajes de Bob sin entregar) y luego asumiera su cuenta de WhatsApp (¿cómo?). Siempre que el atacante pueda suplantar a Alice razonablemente bien, a Bob, que no se le muestra una advertencia sobre el cambio clave, creería que todavía se está comunicando con Alice.