WhatApp presume de ser una de las aplicaciones de mensajería instantánea que protege mejor sus conversaciones con un sistema de cifrado de extremo a extremo. Sin embargo, la app más popular entre los españoles lleva años presentando un grave fallo de seguridad que permite que cualquier usuario se pueda colar en los chats de terceros tan solo utilizando funciones básicas de Google.
A user has recently discovered that WhatsApp stores the 2FA passcode in plain text in a file in their sandbox.
Being into the sandbox, no other apps can read that file, but there are some cases (in particular the second one) that should force to encrypt the 2FA Code. https://t.co/nmrNSGkKSU
— WABetaInfo (@WABetaInfo) March 22, 2020
Una nueva vulnerabilidad en las versiones de WhatsApp para Android y iOS ha sido revelada recientemente por los expertos de WABetaInfo. A través de su cuenta de Twitter, la página dedicada a informar novedades de la plataforma de mensajería, notificó recientemente, que el código de acceso de autenticación de dos factores (2FA) estaba almacenado en un archivo de texto sin estar cifrado.
Dicho mecanismo fue implementado por la compañía en 2017 y estaba destinado a proporcionar una capa de seguridad adicional a sus clientes.
«Es el archivo del que estaba hablando», publica WABetaInfo en el Twitter.
It’s the file I was talking about.
Read my previous tweets to learn more. https://t.co/XPUb74et2i
— WABetaInfo (@WABetaInfo) March 22, 2020
Lee también: WhatsApp incluye nueva función de desbloqueo de contactos
Asimismo, WABetaInfo tranquilizó a los internautas y señaló que la compañía no incluye el archivo en las copias de seguridad, y los intrusos no pueden acceder a él, ya que se encuentra almacenado en su ‘sandbox’, un contenedor privado. Además, no es suficiente disponer solo del código 2FA para acceder al WhatsApp de los usuarios, ya que también es imprescindible un código que la plataforma envía por SMS en el momento de su instalación.
The file isn’t included in backups, and other apps cannot read it because it’s stored into a private container.
Unfortunately there might be vulnerabilities on certain iOS versions (some of them might be also secrets – 0days) and it’s important to encrypt the code. https://t.co/hTMCy6XoN7
— WABetaInfo (@WABetaInfo) March 22, 2020
No obstante, los expertos de WABetaInfo remarcan que teniendo en cuenta el hecho de que algunas versiones de iOS pueden tener ciertas vulnerabilidades, la empresa no debe dejar el archivo sin cifrar. Por ejemplo, el código es visible en dispositivos Android ‘rooteados’, lo que permitería a otras aplicaciones con permisos de ‘root’ acceder a este código y poner en peligro la privacidad de los usuarios.
