Los fallos tienen el mismo origen: no usar claves diferentes para el envío y recepción de mensajes.
Detalles de los fallos
- Se usa, se usa la misma clave para el algoritmo RC4, el encargado de cifrar los mensajes. Tal y como se cifran los mensajes con RC4, esto permite “anular” la clave y a partir de ahí se pueden obtener los mensajes originales.
- También usa la misma clave para autenticar y verificar los mensajes (HMAC). El HMAC es un código que asegura que el mensaje no se ha modificado ni intencional ni accidentalmente por el camino.
Impacto en el sistema afectado
- Al usar siempre la misma clave, un atacante situado entre un usuario y los servidores de Whatsapp, puede reproducir cuantas veces quiera un mensaje, eliminarlo o reenviarlo de vuelta y ni el usuario ni los servidores sabrían que está pasando.
Siendo la conclusión final de todo esto, que Whatsapp no consiga implementar bien la seguridad porque estos fallos son conocidos desde hace diez años, pues hasta Microsoft tuvo problemas por repetir claves RC4 en soluciones de VPN.
En teoría, son fallos que alguien con una mínima formación en criptografía no debería cometer, lo que demuestra lo poco preocupado que está Whatsapp por su seguridad.
Fuente: Genbeta
