Menú principal

lunes, 27 de enero de 2014

WhatsApp y apps con seguridad y privacidad en tus chats

El número de apps que pretenden añadir más seguridad a las comunicaciones vía mensajes cortos es muy alto. Aunque el rey indiscutible sigue siendo aún el de siempre, los problemas de privacidad que han llevado a que se conozcan muchos métodos de cómo espiar WhatsApp, han hecho que proliferen otros sistemas de mensajería que intenten hacer de la seguridad y la privacidad una palanca para meterse en este mundo.

Hace tiempo, una de las ventajas de Kik Messenger era que utilizaba cifrado en toda la comunicación, algo que no sucedía con WhatsApp y permitía que cualquier compañero de WiFi pudiera ver los mensajes.

Figura 1: Un mensaje de WhatsApp descifrado en una WiFi

Más tarde, el equipo de desarollo de WhtasApp decidió añadir una capa de cifrado a los mensajes enviados y recibidos, pero en lugar de usar una comunicación bajo el estándar SSL decidieron implementar ellos mismos un sistema de criptografía, con no demasiada buena suerte, ya que cometieron algunos problemas de diseño y se podían descifrar los mensajes de WhatsApp.

Figura 2: Una conversación de WhatsApp descifrada en la PoC publicada

Otro problema de WhatsApp es que aunque los mensajes se borren, pueden quedar en la base de datos durante mucho tiempo, lo que permiten que si alguien es capaz de llegar al fichero de mensajes vía el backup de iTunes o vía acceso al terminal iPhone, con un sistema como RecoverMessages podrían recuperarse algunos mensajes borrados hace semanas. Todo esto está bien documentado en el libro de Hacking iOS, donde se explica cómo hacer un análisis forense de un terminal iPhone en detalle.

Figura 3: Accediendo a la base de datos de mensajes de WhatsApp de un iPhone

Otros sistemas de mensajería usados, como por ejemplo los Direct Messages de Twitter, tienen la ventaja de que se puede borrar un mensaje enviado, y a la otra persona no le aparecerá. En esos casos, sin embargo, herramientas como Twtiter Anti-Delete Protection Messages permiten al dueño de una cuenta de Twitter evitar que alguien le borre los DM, y bastaría con conectar el terminal iPhone a su equipo para poder recuperarlos todos.

Figura 4: Twitter Anti-Delete Protection Tool para iPhone

El funcionamiento de esta herramienta es similar al de WhatsApp Anti-Delete Protection Tools o Skype Anti Protection Tools, y evitan que los mensajes que se han borrado lo sean para siempre, por lo que nadie podría ver que los mensajes aún están en tu terminal, pero nunca se borrarían.

Figura 5: Ejemplo de funcionamiento de WhatsApp Anti-Delete Protection Tool

En comunicaciones cifradas y controladas, hay que citar sin duda a Secure Text de Moxie Marlinspike y su WhisperSystems, pero que por desgracia "aún" solo está disponible para Android, por lo que los usuarios de iPhone o Windows Phone deberán seguir esperando.

Figura 6: TextSecure para Android de WhisperSystems

En Android, la base de datos de WhatsApp se encuentra en dos ubicaciones, una en la tarjeta sdcard, en la ruta: /sdcard/WhatsApp/Databases/msgstore.db.crypt a la que se puede acceder fácilmente e incluso muchas apps maliciosas de Android, con que el usuario les conceda el permiso de acceso al almacenamiento, pueden llevársela, tal y como se explica en el libro de Desarrollo Seguro Android, y como ofrecen muchos troyanos profesionales de espionaje para Android.

Figura 7: Chats de WhatsApp robados por un troyano

La idea de seguridad es que esa base de datos está cifrada, pero se conoce su forma de descifrar, y desde hace tiempo es fácil hacerlo. En RecoverMessages basta con que subas la base de datos cifrada y se obtiene descifrada. Si no existe ese fichero, se puede forzar la creación desde WhatsApp->Configuración Avanzada->Más->Hacer copia de seguridad y también se puede obtener desde su ubicación real en /data/data/com.whatsapp/databases/msgstore.db aunque para acceder a esta base de datos se necesita nivel de root

En todos los casos, muchos usuarios no quieren que queden los mensajes almacenados, por lo que han demandado esa característica en las apps. El rey en cuando a los mensajes que se autodestruyen sigue siendo SnapChat, que sin embargo ha sido popular recientemente por una brecha de seguridad que ha permitido que se saquen los datos de casi 5 millones de usuarios de este sistema, lo que ha generado mucha desconfianza en la seguridad general del mismo. No es el único que ofrece esta funcionalidad, como ya vimos con TigerText, diseñada incluso para su uso en entornos empresariales.

Figura 8: Tiger Text para iOS

El último que se ha subido al carro de la privacidad y la seguridad de los sistemas de mensajería ha sido Telegram, una app que ha salido para iOS y Android, con el objeto de ser un sistema tan cómodo, rápido y flexible, pero añadiendo mucha seguridad en las comunicaciones y privacidad en los mensajes, pero habrá que ver si esto es así por mucho tiempo o pronto tenemos más datos.

Figura 9: Telegram for iOS

En cualquier caso, sea una de estas, u otras apps de mensajería como Facebook Messenger, Line, o el propio iMessage de Apple que también promete una comunicación mucho más segura y privada, al final siempre hay tres cosas que nunca vuelven: La flecha lanzada, la palabra dicha, y la oportunidad perdida. Aplícate el cuento.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares