También, si somos un poco interesados en el mundillo de nuestra privacidad, también sabréis que es una de las aplicaciones a la que más palos le han llovido de muchas partes distintas, desde los usuarios habituales por el simple hecho del "ultima conexión" y las novias recelosas que saben cuando has estado en el teléfono (pobres), a el tiene dos marcas porqué me ignoras? blablabla.. pero las que nos interesan sobre todos es lo múltiples fallos de seguridad que han tenido.
De entre esos múltiples fallos recuerdo por ejemplo:
Que los mensajes no se borraban, si no que simplemente quedaban escondidos en nuestro teléfono (no vaya a ser que nuestro usuario quiera recuperarlos y luego nos echen la bronca por dejárselos borrar... todo por el usuario) siendo un poco cafre el hecho de que si nos robasen el móvil podrían leer las conversaciones que hemos tenido por whatsapp desde siempre.
(imagen de software recuperador de mensajes borrados)
Otro muy divertido es el simple hecho de poder falsificar los remitentes de un mensaje (nunca os ha enviado obama un whatsapp? vaya, pues muchas veces hasta te invita a tomar el té).
También y este desde luego me choca mucho, es que podemos mandar mensajes a quienqueramos simplemente sabiendo su número de teléfono, esta en particular me choca porque LINE por ejemplo si te permite aceptar o ignorar usuarios que pueden enviarte mensajes...
Pero ahora lo que venía hablando, y es que el fallo más importante desde siempre ha sido la privacidad de nuestros mensajes en cuanto a que tal y como está diseñado, poco más poco menos los mensajes se envían en texto plano, no no os asustéis, realmente no van en texto plano y legible para cualquiera que esté sniffando en la misma red que nosotros (pero al caso tal y como funciona lo mismo es), no no donde va a parar, los mensajes están cifrados... con un algoritmo de 1987 :D coño! del siglo pasado! De seguro eso pertenece a los museos y por una buena razón, la cual es que es muy fácil de romper, como cualquier implementación de seguridad en esta vida si lleva mucho tiempo al aire alguien casi seguro le ha bajado los pantalones (recordar siempre tener actualizados y parcheados vuestros dispositivos/equipos/loquesea),
Joder, pues estarán trabajando para arreglarlo no?
pues... lo cierto es que de buenas a primeras, esto se lo llevan avisando a whatsapp desde hace mucho, y no parecen dar muestras de buena labor por su parte para solucionarlo sinceramente :S
(última fecha de actualización de "cifrado" 27/08/2012)
Y entonces qué hago? Dejo de mandar mensajes a mis amigos?
Hombre, no, siempre hay más opciones, por ejemplo escoger otro servicio, de los cuales yo ahora mismo optaría por blackberry messenger puesto que ahora lo han lanzado para todos los SO móviles, y al menos uno de los puntos fuertes de blackberry han sido sus cifrados y canales seguros.
Pero la mayoría de la gente habitual no se cambiarán de servicio...
Lo se, por eso ahora viene la buena noticia, ya que whatsapp no se pone a ello, gracias a un par de buenas personas (Españolas además! que no se diga) Pablo San Emerio y Jaime Sanchez (@psaneme y @segofensiva) han propuesto una solución intermediaria, un software desarrollado por ellos que añade más seguridad a nuestros mensajes en whatsapp
¿Cómo funciona?
La forma fácil de decirlo es que añade un cifrado adicional a nuestros mensajes de whatsapp
La aplicación funciona de intermediaria entre nuestro móvil y los servidores de whatsapp, intercepta nuestro mensaje antes de que sea enviado al servidor de whatsapp, lo descifra con la clave que sólo nuestro teléfono y el servidor conocen (es dificilísimo dar con ella! y sí, es una ironía, con un par de mensajes que interceptemos siendo un algoritmo tan antiguo podemos sacar la clave bastante rápido si le ponemos ganas y vemos un par de ayudas de como hacerlo), le aplican un algoritmo de cifrado actual mucho más robusto, y sobre este luego lo vuelven a cifrar con el RC4 para que el servidor de whatsapp no vea nada raro cuando llegue a él antes de reenviarlo.
El problema (más bien incomodidad) es que la persona a quien va dirigido debe saber descifrar ese mensaje también, y por tanto tener instalada también la aplicación y tener prepactada una contraseña con el emisor del mensaje para poder comunicarse con él y no leer un galimatías de símbolos extraños, sin mucho problema de eso se encarga la aplicación de almacenar las claves siempre y cuando se las demos así que mucho problema no es, cuestión de sopesar la comodidad o la seguridad de cada uno.
A mayores, otra de las perradas que esta aplicación hace para nuestra buena seguridad, es que si bien el servidor sabe quien ha enviado que mensaje y a qué hora a qué destinatario, a pesar de que no pueda leerlo ni saber que dice, en sí eso es una información bastante importante y jugosa para quien esté interesado (y tenga acceso a los servidores de whatsapp, que como sabemos hoy en día es cualquiera que tenga la orden judicial precisa). Así que para evitar esto, la aplicación a mayores antes de enviarlo a los servidores whatsapp, lo envían a un número virtual falso, que se lo reenvía a otro, que se lo envía a otro... que finalmente se lo envía a whatsapp para que lo envía a nuestro destinatario. Solucionado, whatsapp ya no tiene tan fácil saber quien es el emisor.
Y por último, la joya de la corona, y si pasamos directamente de whatsapp? Pues también, los mensajes de whatsapp se envían utilizando el protocolo XMPP (que utilizan muchos chats hoy en día) un poco modificado, y por ello es posible utilizar un servidor XMPP propio que no sea whatsapp, y hacer que la aplicación envíe un mensaje falso a whatsapp y otro verdadero a nuestro servidor, para que cuando le llegue al destinatario el mensaje falso, la aplicación actúe en consecuencia y busque el mensaje original en el servidor propio.
Está muy bien diseñado si lo miráis bien, y realmente los dos primeros pasos a whatsapp no les debería costar mucho implementarlos (el tercero lógicamente dudo que les interese puesto que al fin y al cabo quieren que el servicio pase por ellos :P).
Después de ver todo esto, espero que os penséis dos veces antes de enviar un mensaje, qué es lo que enviáis y si realmente os apetece mandarlo por esos canáles :)
Fuentes:
Hojaderouter
No hay comentarios:
Publicar un comentario