Inseguridad en WhatsApp

WhatsApp, el programa por erxcelencia en cuanto a la mensajeria directa entre móviles ( texto, imágenes, multimedia), iOS, Android, BlackBerry OS, y Symbian, con un gran crecimiento y expasión muestra sus debilidades en cuanto a seguridad.

 
 
Las vulnerabilidades que han sido reveladas son las siguientes: 
  • Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.
  • La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.
  • El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.
Estas vulnerabilidades no tienen asignado ningún identificador CVE.
 
La empresa desarrolladora ha impuesto, como medida de protección ante la segunda vulnerabilidad, una limitación de 10 intentos para introducir el código enviado. Sin embargo no se ha pronunciado al respecto de las otras dos vulnerabilidades.
 
Más información:
 
SEC Consult SA-20111219-1 :: Multiple vulnerabilities in WhatsApp

Acerca de Antonio Dominguez

Analista Forense Informático, Asesor, Consulting, Técnico en Hardware y Desarrollo Ver todas las entradas de Antonio Dominguez

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: