18 de septiembre de 2019

WHATSAPP. La opción «eliminar para todos» no elimina los archivos enviados a iPhone.

La opción, que fue introducida hace dos años, contiene un fallo de seguridad sin parchear que no elimina los archivos enviados a dispositivos iPhone, por lo que, en cuanto a funcionalidad se refiere, sencillamente se limita a generar una sensación de privacidad que no se corresponde con la realidad.
Tanto WhatsApp, como su competidor de software – parcialmente – libre, Telegram, ofrecen la opción «Eliminar para todos» cuando se selecciona un determinado archivo enviado. Esto permite rectificar el envío y enmendar un posible – y a menudo incómodo – error cuando, típicamente, se envía por descuido material a un destinatario no deseado.
En el caso de WhatsApp, la opción sólo está disponible en un lapso de tiempo de una hora, ocho minutos y dieciséis segundos, una vez el mensaje o archivo se ha enviado. Un tiempo, seguramente, más que razonable para percatarse del error.
Sin embargo, tanto da el lapso de tiempo configurado por el fabricante, si los mensajes o archivos enviados, tal y como ha descubierto el investigador Shitesh Sachan, no se eliminan correctamente para los usuarios de iPhone. Incluso aunque recibamos de la aplicación el mensaje de «el mensaje ha sido borrado».
Si bien es cierto que la versión para Android de la popular aplicación de mensajería llega incluso a borrar los archivos de la galería del receptor cuando se selecciona la opción «borrar para todos», no ocurre así para los usuarios de iPhone, un contexto donde la aplicación parece seguir un diseño diferente.
El problema radica fundamentalmente en que la aplicación trae activada por defecto la opción de «guardar automáticamente» en las respectivas galerías de Android o iPhone y, pese a que desactivar esta opción mitigaría parte del problema, poca gente configura correctamente su aplicación para que adopte este comportamiento. Ni siquiera cuando las mejoras en cuanto almacenamiento y control de los activos son evidentes al activar esta opción.
A comienzos de esta semana se publicaba, igualmente, un fallo de seguridad similar que afectaba a Telegram, que también adolece de una implementación deficiente en su opción «Eliminar para todos». Sin embargo, mientras que Telegram parcheó inmediatamente el fallo, WhatsApp ha declarado que no tiene intención alguna de abordar el tema, porque la funcionalidad de dicha opción es, argumentan, eliminar de la aplicación -y no del dispositivo móvil – los archivos seleccionados.
El equipo de seguridad de WhatsApp también arguye que la pretensión de que su opción «Eliminar para todos» sirva, precisamente, para eliminar por completo el archivo, colisiona con el hecho de que el receptor del mensaje puede verlo antes de que sea borrado o hacer un «pantallazo», lo que haría inútil implementar correctamente la opción. Por otro lado, también afirman que podrían estudiar cambios en la implementación en un futuro.
Recomendación
Evitar siempre el uso de software privativo que no respete la privacidad y la seguridad del usuario, y adoptar progresivamente el uso de software cuyo código haya sido liberado – software libre – por los beneficios de seguridad y privacidad que supone el tener a disposición de una comunidad activa un código fuente auditado y saneado de manera pública.
Más información:
Fuente: Hispasec