Un singular e inquietante fallo de seguridad de WhatsApp permite que cualquier persona bloquee tu cuenta en este servicio. Lo único que necesita es conocer tu número de teléfono móvil.
El problema no es un defecto interno del código de WhatsApp, sino un error preocupante en la forma en la que el servicio bloquea cuentas. El atacante no leerá tus mensajes, pero te dejará sin acceso a la popular aplicación de mensajería sin que sepas qué ha pasado.
Un problema que puede causar muchos dolores de cabeza
El mecanismo es sencillo. El atacante instala WhatsApp en un nuevo móvil e introduce tu número para activar el servicio. No pueden verificarlo porque esa clave llega a tu número de móvil.
Como ha usado tu número de móvil, introduce varias claves de verificación aleatorias que fallan y que provocan que tras varios intentos WhatsApp no permita al atacante introducir nuevos códigos de seis dígitos para validar esa cuenta durante 12 horas.
Para la víctima todo seguirá funcionando de momento, pero aquí es donde viene lo interesante: cuando esa cuenta está bloqueada, el atacante envía un correo electrónico (desde una dirección desechable, por ejemplo una nueva cuenta de Gmail) a la dirección de soporte de WhatsApp. En ese mensaje le basta decir que tu móvil ha sido robado o extraviado y que necesita que el servicio se desactive.
Lo único que hace WhatsApp aquí es creer que la identidad del atacante es legítima en un proceso automatizado que no requiere acciones adicionales: el servicio simplemente lo da por sentado y el proceso finaliza con el objetivo cumplido: tu cuenta de WhatsApp queda suspendida sin más. El atacante puede repetir el proceso varias veces para lograr que al final te sea casi imposible usar WhatsApp de forma normal.
De hecho tú no lo sabes, pero tienes que esperar a que finalice ese plazo de 12 horas que el atacante había iniciado al fallar en el código de verificación. A partir de ese momento podrás volver a activar la cuenta, pero tendrás que estar intentándolo sin saber cuándo efectivamente finalizan esas 12 horas, y una vez recuperado el servicio volveremos a estar expuestos a que el atacante repita la operación una y otra vez.
El problema ha sido desvelado como una prueba de concepto de dos investigadores españoles, Luis Márquez Carpintero y Ernesto Canales Peña. Aunque no da acceso a nuestros mensajes o contactos, cualquier atacante con nuestro número de móvil puede causarnos muchas molestias, sobre todo si somos usuarios intensivos de WhatsApp.
Los responsables de WhatsApp y de Facebook de momento no parecen estar valorando una posible solución —que no parece especialmente difícil—. En comentarios a Forbes le restaron importancia al problema, que ciertamente existe y puede causar bastantes dolores de cabeza.
Vía | Forbes
No hay comentarios:
Publicar un comentario