Vulnerabilidad de Whatsapp y Telegram compromete a millones de usuarios

Excélsior

Europa Press

18 de marzo de 2017

Los investigadores de Check Point han revelado una nueva vulnerabilidad en las versiones para navegador de WhatsApp y Telegram – WhatsApp Web y Telegram Web – que compromete las cuentas de millones de usuarios.

La explotación de este punto débil permite que los atacantes se hagan con el control completo de las cuentas de las víctimas, y accedan a sus conversaciones personales y de grupo, así como a sus fotos, listas de contactos, vídeos y otros archivos compartidos desde cualquier dispositivo.

“Esta nueva vulnerabilidad pone en riesgo a cientos de millones de usuarios de WhatsApp Web y de Telegram Web”, explica Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point. “Simplemente enviando una foto aparentemente inofensiva, un ciberdelincuente podría hacerse con el control de sus cuentas, acceder al historial de mensajes, ver y descargar todas las fotos compartidas y enviar mensajes en nombre de la víctima”.

La vulnerabilidad permite al ciberdelincuente enviar el código malicioso oculto dentro de una imagen de aspecto inofensivo. Tan pronto como el usuario hace clic en ella, abre el acceso completo a los datos almacenados en WhatsApp o Telegram.

Desde Check Point alertan en un comunicado de que el ciberdelincuente puede, además, enviar el archivo malicioso a todos los contactos de la víctima, lo que potencialmente permite un ataque a gran escala.

Check Point reveló esta información a los equipos de seguridad de WhatsApp y Telegram el pasado 8 de marzo. Ambas empresas han reconocido el problema de seguridad, y han desarrollado una solución para los clientes web en todo el mundo.

“Afortunadamente, WhatsApp y Telegram han respondido rápidamente para atajar este problema que afectaba a todos sus clientes web”, comenta Oded Vanunu.

De cualquier forma, desde la empresa de seguridad recomiendan a los usuarios de WhatsApp Web y Telegram Web que se aseguren de estar utilizando la última versión reiniciando su navegador.

WhatsApp y Telegram usan la encriptación de mensajes de extremo a extremo, una táctica de protección de datos que asegura que solo las personas implicadas en la conversación puedan leer los mensajes. Sin embargo, esta técnica fue el origen de la vulnerabilidad.

Como explican desde Check Point, dado que los mensajes se cifran por parte del emisor, WhatsApp y Telegram no pudieron ver el contenido y, por tanto, no pudieron prevenir que se enviara ‘malware’. Después de corregir esta vulnerabilidad, el contenido ahora se podrá validar antes del cifrado, lo que permitirá bloquear los archivos maliciosos.

Ambas versiones web recogen todos los mensajes enviados y recibidos en la aplicación para móviles, y están totalmente sincronizadas con los dispositivos de los usuarios.

 

La policía ya no puede utilizar la data de Facebook para monitorearte

El Economista

ELIZABETH DWOSKIN / THE WASHINGTON POST

18 de marzo de 2017

Facebook le está quitando a los departamentos de policía un gran tesoro de datos que ha sido utilizado cada vez más para vigilar a los manifestantes y activistas.

La medida, que la red social anunció el lunes pasado, surge tras la preocupación por el seguimiento de las cuentas de medios sociales de los manifestantes en lugares como ­Ferguson, Missouri y Baltimore­. También llega en un momento en que su director ejecutivo Mark Zuckerberg­ dice que está ampliando la misión de la empresa de simplemente “conectar el mundo” en redes de amigos para promover la seguridad y la comunidad.

Aunque el negocio principal de la red social es la publicidad, Facebook junto con Twitter e Instagram, propiedad de Facebook, también proporciona a los desarrolladores acceso a los feeds públicos de los usuarios. Los desarrolladores usan los datos para monitorear tendencias y eventos públicos.

Por ejemplo, los anunciantes han rastreado cómo y qué consumidores están discutiendo sus productos, mientras que la Cruz Roja ha utilizado datos sociales para obtener información en tiempo real durante desastres como el huracán Sandy.

Sin embargo, las redes sociales han estado bajo el fuego por trabajar con terceros que comercializan los datos a la policía. El año pasado, ­Facebook, Instagram y Twitter cortaron el acceso a Geofeedia, una startup que compartió datos con la policía, en respuesta a una investigación de la Unión Americana de Libertades ­Civiles (ACLU, por su sigla en inglés).

La ACLU publicó documentos que hicieron referencias para rastrear activistas en las protestas en ­Baltimore en el 2015 después de la muerte de un hombre negro, Freddie Gray, mientras estaba bajo custodia policial y también en las protestas en Ferguson, Missouri, en el 2014 después de que la policía le disparó a ­Michael Brown, un negro de 18 años que estaba desarmado.

El lunes, Facebook actualizó sus instrucciones para que los desarrolladores dijeran que no pueden “usar los datos obtenidos de nosotros para proporcionar herramientas que se utilizan para la vigilancia”.

La compañía también dijo, en un blog, que había expulsado a otros desarrolladores de la plataforma desde que cortó sus lazos con Geofeedia.

Hasta ahora, Facebook no ha sido explícito sobre quién puede utilizar la información que los usuarios publican. Esto puede incluir la lista de amigos de una persona, la ubicación, el cumpleaños, la imagen del perfil, la historia de la educación, el estatus de la relación y la afiliación política, si hacen que su perfil o ciertos posts sean públicos. Algunos departamentos han elogiado las herramientas, que dicen que les ayuda a combatir la delincuencia, por ejemplo, si los líderes de pandillas publican referencias a sus crímenes.

En una declaración sobre los cambios, que fueron los resultados de varios meses de conversaciones con activistas, la ACLU y otros grupos elogiaron el movimiento de Facebook como un “primer paso”.

“Dependemos de las redes sociales para conectarnos y comunicarnos sobre los asuntos más importantes de nuestras vidas y los principales problemas políticos y sociales de nuestro país”, dijo Nicole Ozer, directora de Tecnología y Libertades civiles de la ACLU de California.

“Ahora más que nunca, esperamos que las compañías cierren las puertas laterales de vigilancia y se aseguren de que nadie pueda usar sus plataformas para perseguir a personas de color y activistas”.

Algunos dijeron que Facebook no había ido lo suficientemente lejos. “Cuando las compañías de tecnología permiten que sus plataformas y dispositivos sean utilizados para llevar a cabo una vigilancia masiva de activistas y otras comunidades focalizadas, frena la disidencia democrática y da al autoritarismo una licencia para prosperar”, dijo Malkia Cyril, directora ejecutiva y fundadora del Center for Media Justice.

“Está claro que hay más trabajo por hacer para proteger a las comunidades de color de los medios sociales de espionaje, censura y acoso”.

El nuevo lenguaje de políticas no excluye a la policía de la plataforma. Por un lado, la compañía coopera con la aplicación de la ley en casos específicos para la ayuda en la resolución de crímenes.

La policía y las agencias federales aún puede extraer los feeds de la gente en casos de desastres y emergencias nacionales, dijeron funcionarios de Facebook. No ha quedado claro cómo la red social decidirá qué emergencias y eventos públicos justificarán el monitoreo de los datos de los ciudadanos y que constituiría una “vigilancia” irrazonable. La “vigilancia” tampoco fue definida en la entrada del blog, un área gris potencial que los forasteros pueden explotar. Facebook dijo que continuará auditando a terceros por violaciones de políticas y exigirá que los desarrolladores revelen lo que planean hacer con los datos a los que están solicitando acceso.

Departamentos de policía locales en Estados Unidos han gastado unos 5 millones de dólares en monitoreo de medios sociales en los últimos años, de acuerdo con el Centro de Justicia Brennan. La cantidad relativamente pequeña muestra cómo es barato realizar un seguimiento y monitorear el comportamiento de un gran número de personas.

Elizabeth Dwoskin es la corresponsal en Silicon Valley para The Washington Post.