Tras la información de que las actualizaciones de WhatsApp para iOS podían borrar todo el historial de chats y multimedia del usuario, ahora sala a la luz otra vulnerabilidad de esta aplicación, en base a la cual se pueden espiar conversaciones y mensajes en los llamados chats de grupo.
En concreto, el fallo en seguridad permite colarse en un chat grupal de WhatsApp sin ser descubierto, ni por el administrador ni por los demás usuarios, ya que desde los servidores también hay acceso y, por ahí, el posible espionaje.
Solo un administrador de un grupo de WhatsApp debería de invitar a nuevos miembros, pero WhatsApp no usa ningún mecanismo de autentificación para esa invitación. Entonces el servidor simplemente agrega un nuevo miembro a un grupo sin conocimiento o interacción con el administrador del chat, dando lugar así a la posibilidad de entrada ilícita a las conversaciones y contenidos del mismo.
Además, el intruso puede usar el servidor para bloquear selectivamente cualquier mensaje que hiciese preguntas o advertencias sobre el nuevo participante, así como decidir a quién se envía o no un contenido; mientras que en grupos con administradores múltiples, el servidor secuestrado podría falsificar diferentes mensajes para cada administrador, haciendo que pareciera que otro había invitado al espía, para que ninguno generara una alarma. Incluso el intruso podría evitar que un administrador intente eliminarlo del grupo si lo descubre.
Los investigadores y descubridores del fallo, un equipo de la Universidad de Ruhr (Alemania), han calificado el fallo como simple pero «total, sin excusa».
Por su parte, WhatsApp confirmó los hallazgos de los investigadores, pero alegó que nadie puede agregar secretamente un nuevo miembro a un grupo o que esta deje de ser sospechosa.
La situación es que el sistema de mensajes grupales de WhatsApp, en combinación con sus promesas de cifrado, lo han convertido en una herramienta popular para las llamadas «redes de susurros», en torno a temas delicados o peligrosos. Por ejemplo, las víctimas de acoso o abuso sexual lo han usado para organizar la campaña contra los abusadores, también los políticos para su información privilegiada o mismo los Cascos Blancos en Siria, brigadas voluntarias de rescate que a menudo son objeto de ataques.
Los investigadores alemanes, que ya advirtieron del fallo en julio del año pasado, afirman que la compañía podría arreglar su error al agregar un mecanismo de autenticación para nuevas invitaciones grupales, como el uso de una clave secreta que solo el administrador posea para confirmar esas invitaciones.
