martes, septiembre 03, 2024

WhatsApp Locks: Los Chats Restringidos y una pequeña Weakness de Privacidad cuando "resucitan"

Este mes de verano os he hablado de varios temas de WhatsApp que tienen que ver con la privacidad y la seguridad. Os hablé del leak de las miniaturas en los mensajes de un sólo uso en WhatsApp, de cómo funcionan las Passkeys en WhatsApp, y de cómo investigar los audios de WhatsApp separándolos por pistas de sonido, y, tangencialmente, cómo saber si un audio de WhatsApp está hecho con voces clonadas. Temas con los que estoy todo el día jugando, porque es fácil.

Figura 1: WhatsApp Locks: Los Chats Restringidos y una
pequeña Weakness de Privacidad cuando "resucitan"

Muchos de estos temas los pruebo como forma de jugar, para encontrar "hilos" de los que tirar y encontrar "bugs" o "weaksnesses" que puedan ser utilizadas para romper algunas de las protecciones de seguridad o privacidad que vienen en la plataforma. Y es que WhatsApp INTelligence es una disciplina cada vez más útil para investigar casos. En este caso es una "weakness" que tiene WhatsApp - que es verdad que es muy pequeña - pero que debería arreglarse, y quería contároslo, que ya sabéis que nos encanta esto de buscarle las esquinas al WhatsApp para hacer cosas de ciberseguridad.

Figura 2: WhatsApp INT: OSINT en WhatsApp.
Nuevo libro de Luis Márquez en 0xWord.

En este caso se trata de los Chats Restringidos que tienen una capa extra de seguridad, exigiendo una autorización para ver el contenido, y que desactivan la información en las alertas. Dejadme que os lo explique caso a caso.

Chat Restringido o Locked Chat

Yo tengo todo en inglés - y en iPhone también-, así que las capturas las veréis en inglés, pero dejadme que os lo explique paso a paso con un chat con Mi Hacker. En las propiedades, hoy en día, en la parte de seguridad hay dos opciones que voy a usar para que veáis a lo que me refiero: 1. -Mensajes que desaparecen y 2.- Chat Restringido.

Figura 3: En este caso, el chat auto-elimina los mensajes a las 24 horas

Y ahora vamos a convertirlo en un Chat Restringido, así que hacemos click en Lock chat, y seguimos el proceso, que no tiene nada complicado.

Figura 4: Activamos el Chat Lock

En ese momento WhatsApp ya configura el chat como restringido, lo meterá en una carpeta aparte, y las alertas serán sin ninguna información ni del mensaje, ni del chat.

Figura 5: El chat queda restringido

Si miramos en las opciones de este chat, ahora tenemos marcadas las opciones de "Disappearing messages" y de "Lock chat", con lo que hemos metido una buena capa de privacidad.

Figura 6: Mensajes que se autoeliminan y Chat Restringido

Como podemos ver, ahora tenemos una carpeta de "Locked" que son los Chats Restringidos, así que sin entrar en esa carpeta con una autenticación usando FaceID en iPhone o el Passcode iOS.

Figura 7: El chat con Mi hacker está en la carpeta "Locked Chats"

Y cuando llega una alerta con un mensaje para ese chat, y no se ha entrado en la carpeta de "Locked Chats", lo que tenemos es una alerta genérica que mola todo.

Figura 8: La carpeta de "Locked Chats" está cerrada y 
las alertas son genéricas y sin datos.

Así que si alguien pilla tu terminal con el WhatsApp abierto, no podrá ver los Chats Restringidos, ni los mensajes que vayan entrando en ellos. Que ayuda a evitar problemas de miradas de gente que aprovecha descuidos.

Y ahora la Weakness de Privacidad

Ahora os cuento lo que para mí es una pequeña Weakness de privacidad en estos Chats Restringidos, que me ha llamado la atención. Imagina que, sin quitar la opción de "Lock Chat" decides eliminar el chat. Porque no te interesa seguir teniendo esa conversación ya.

Figura 9: Borramos un "Locked Chat"

Pero... en ese momento se recibe un mensaje de ese contacto, en este caso de "Mi Hacker", y lo que sucede es sencillo, entra la alerta de nuevo mensaje con toda la información del contacto, la foto y el mensaje en ella, y entra en el "Chat Resucitado".

Figura 10: El chat se re-crea, sin estar Locked

Lo que sucede es que se re-crea otra vez el chat, pero ha perdido la configuración de Locked Chat. Es decir, se crea sin esa opción de seguridad. Pero no sin la opción de Disappearing Messages, que perdura.

Figura 9: Mantiene la opción de "Disappearing Messages"
pero pierde la de Lock chat

El motivo por el que debe suceder esto es que, la configuración de "Disappearing Messages" se propaga a las configuraciones del chat en los dos miembros del chat, mientras que la de Locked Chat se queda solo en el contacto que lo configura así, y cuando se borra se pierde esa configuración. Pero sería mucho más seguro y más privado si esa opción se recordara en el contacto, para que si se re-crea el chat vuelva a recrearse pero Restringido.

No es un bug, es una weakness de cómo está diseñado, que podría mejorarse. Sólo eso.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Publicado por Chema Alonso a las 2:01 p. m.

Etiquetas: , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares