Noticias ligeramente antiguas: Whatsapp acaba de cambiar el cifrado de extremo a extremo para cientos de millones de usuarios
¿Hay alguna prueba que pueda realizar para verificar que WhatsApp de hecho esté utilizando el cifrado de extremo a extremo entre mi teléfono y otro teléfono Android?
No hay ninguna comprobación rápida que pueda realizar para asegurarse de que se utiliza el cifrado de extremo a extremo. Incluso si logra obtener esta confirmación, debe asegurarse de que las claves de cifrado utilizadas nunca abandonaron su dispositivo (y el dispositivo de su amigo). Si se utiliza el cifrado de extremo a extremo, pero WhatsApp u otra persona tiene acceso a las claves de cifrado, el chat ya no es confidencial.
Hay información disponible que puede permitir que un investigador de seguridad comience a investigar el asunto:
WhatsApp integrará el software de código abierto Textsecure, creado por Open Whisper Systems sin fines de lucro y enfocado en la privacidad, que codifica los mensajes con una clave criptográfica a la que solo el usuario puede acceder y nunca abandona su dispositivo
P.S .: Hay al menos una forma de saber si no utilizan el cifrado de extremo a extremo y analizan el contenido de sus mensajes. Hace algún tiempo, un investigador de seguridad descubrió que se puede acceder a las URL enviadas en mensajes de Skype desde las direcciones IP de Microsoft ( link ). Puedes intentar lo mismo configurando un servidor web y enviando algunas URL únicas en WhatsApp.
Hace un tiempo realicé algunos trabajos sobre ingeniería inversa del protocolo de WhatsApp. En ese momento, estaba cifrado con SSL a través de Wi-Fi y texto claro a través de 3G. Es posible rootear su dispositivo Android e instalar un localizador de paquetes para volcar el tráfico; por lo general, también es posible instalar su propio CA para MITM tráfico SSL.
La pregunta interesante será si está cifrado dentro de el contenedor SSL, porque SSL es de dispositivo a servidor, no de extremo a extremo.
El envío de un mensaje M, debe producir un paquete P, de datos enviados, posiblemente fragmentados. Si el dispositivo receptor no obtiene P, pero en cambio obtiene algo diferente, entonces no está correctamente cifrado de extremo a extremo o existe un sistema de "tunelización".
No. No, a menos que tenga los recursos para insertar rastreadores en todas las ubicaciones intermedias, incluidas las privadas en la infraestructura de WhatsApp.
Para estar realmente seguro, deberías descompilar WhatsApp y verificar lo que realmente hace el código. Esto puede ser más fácil de lo esperado si la versión de Android está escrita en Java y no está ofuscada. He hecho esto antes y el código descompilado fue sorprendentemente legible.
Incluso después de eso, puede haber una debilidad (no) intencional incorporada en el sistema que permita el descifrado, como el infame error ir fallado de Apple .
Los mensajes de WhatsApp ya están cifrados entre su dispositivo y sus servidores, por lo que un detector de paquetes no funcionará. AFAIK está implementando el cifrado de manera silenciosa y comenzando con los mensajes de solo texto de Android primero. Así que la única forma en que podría pensar sería en aplicar ingeniería inversa a la aplicación. Sin embargo, creo que la última versión de la aplicación de Android funcionará de principio a fin.
Lea otras preguntas en las etiquetas encryption