La opción,
que fue introducida hace dos años, contiene un fallo de seguridad sin parchear
que no elimina los archivos enviados a dispositivos iPhone, por lo que, en
cuanto a funcionalidad se refiere, sencillamente se limita a generar una
sensación de privacidad que no se corresponde con la realidad.
Tanto
WhatsApp, como su competidor de software – parcialmente – libre, Telegram,
ofrecen la opción «Eliminar para todos» cuando se selecciona un determinado
archivo enviado. Esto permite rectificar el envío y enmendar un posible – y a
menudo incómodo – error cuando, típicamente, se envía por descuido material a
un destinatario no deseado.
En el caso
de WhatsApp, la opción sólo está disponible en un lapso de tiempo de una hora,
ocho minutos y dieciséis segundos, una vez el mensaje o archivo se ha enviado.
Un tiempo, seguramente, más que razonable para percatarse del error.
Sin embargo,
tanto da el lapso de tiempo configurado por el fabricante, si los mensajes o
archivos enviados, tal y como ha descubierto el investigador Shitesh Sachan, no
se eliminan correctamente para los usuarios de iPhone. Incluso aunque recibamos
de la aplicación el mensaje de «el mensaje ha sido borrado».
Si bien es
cierto que la versión para Android de la popular aplicación de mensajería llega
incluso a borrar los archivos de la galería del receptor cuando se selecciona
la opción «borrar para todos», no ocurre así para los usuarios de iPhone, un
contexto donde la aplicación parece seguir un diseño diferente.
El problema
radica fundamentalmente en que la aplicación trae activada por defecto la
opción de «guardar automáticamente» en las respectivas galerías de Android o
iPhone y, pese a que desactivar esta opción mitigaría parte del problema, poca
gente configura correctamente su aplicación para que adopte este
comportamiento. Ni siquiera cuando las mejoras en cuanto almacenamiento y
control de los activos son evidentes al activar esta opción.
A comienzos
de esta semana se publicaba, igualmente, un fallo de seguridad similar que
afectaba a Telegram, que también adolece de una implementación deficiente en su
opción «Eliminar para todos». Sin embargo, mientras que Telegram parcheó
inmediatamente el fallo, WhatsApp ha declarado que no tiene intención alguna de
abordar el tema, porque la funcionalidad de dicha opción es, argumentan,
eliminar de la aplicación -y no del dispositivo móvil – los archivos
seleccionados.
El equipo de
seguridad de WhatsApp también arguye que la pretensión de que su opción
«Eliminar para todos» sirva, precisamente, para eliminar por completo el
archivo, colisiona con el hecho de que el receptor del mensaje puede verlo
antes de que sea borrado o hacer un «pantallazo», lo que haría inútil
implementar correctamente la opción. Por otro lado, también afirman que podrían
estudiar cambios en la implementación en un futuro.
Recomendación
Evitar siempre
el uso de software privativo que no respete la privacidad y la seguridad del
usuario, y adoptar progresivamente el uso de software cuyo código haya sido
liberado – software libre – por los beneficios de seguridad y privacidad que
supone el tener a disposición de una comunidad activa un código fuente auditado
y saneado de manera pública.
Más
información:
Fuente:
Hispasec