Quins són els problemes de seguretat que afecten a Whatsapp?
A última hora de divendres passat ens va sorprendre la notícia que Apple havia decidit retirar WhatsApp de la seva App Store per qüestions de seguretat, causes que la mateixa companyia va declarar com falses en un correu electrònic que rebem hores després. No obstant això es van negar a donar-nos els que, segons ells, són els veritables motius d’aquesta situació crítica, i gairebé tres dies després l’aplicació segueix fora de combat.
En realitat, per molt que els seus responsables intentin tapar-lo de qualsevol manera, l’assumpte de les fallades de seguretat en aquest servei de missatgeria ve de llarg, i per això no ens ha agafat de sorpresa la decisió de Cupertino. Atès l’hermetisme de les dues parts, no podem saber si aquesta recent decisió s’ha produït pels problemes ja coneguts, o per alguna cosa encara més gros que s’hagi pogut destapar.
¿Ha estendre el pànic? ¿S’està assabentant tot el món de les bestieses que comento amb els meus col · legues per WhatsApp? Abans d’arribar a les conclusions més dràstiques, intentarem entendre una mica els forats de seguretat que ja han estat detectats en aquesta popular eina. Després cada un podrà actuar com estimi convenient en base a aquesta informació.
Un llarg historial de problemes per resoldre
Tal i com revelaven el passat mes de juny en Security by Default, l’aplicació guardava sense cap tipus de xifrat la informació sobre contactes, converses i sessions en bases de dades de fàcil accés, i fins i tot detalls sobre la localització si el GPS estava actiu. Sembla que no els va afectar molt el avís, perquè principis d’aquest mateix mes de gener encara es podia accedir fàcilment a qualsevol conversa aliena sense gaire esforç.
Van passar els mesos i van seguir sorgint bretxes en l’estructura, les quals permetien prendre per la força el compte d’un altre usuari per diverses vies. Sobre algunes d’aquestes vulnerabilitats sí que hi ha hagut declaració oficial des de l’equip de desenvolupament per assegurar que havien estat esmenades, però altres semblaven seguir actives temps després.
De la mateixa manera, també a principis d’aquest any vèiem com un exploit a la web del servei permetia canviar l’estat de qualsevol usuari, cosa que novament ha estat esmenat ja per la companyia. El problema no és tenir esquerdes de seguretat, cosa a la qual qualsevol eina està exposada, sinó que vegem com algunes d’elles són atallades i altres (particuarlmente preocupants) segueixen latents amb el pas dels mesos.
És segur utilitzar WhatsApp en aquest moment?
Coneixedor com sóc de tot el que s’ha exposat, del que ha estat solucionat i del que aparentment encara segueix sagnant, personalment no he deixat d’usar WhatsApp de moment. Això sí, mantinc com a regla d’or que en les meves converses no es reveli res d’informació més personal del compte, ni cap tipus de dada sensible, que pugui quedar guardat com a text pla perquè qualsevol pugui llegir en el futur.
Enmig d’aquesta petita gran crisi, l’únic que la companyia ha publicat al seu bloc oficial aquests últims tres dies és informació sobre un insuls hoax que porta mesos circulant. Però de la situació en l’App Store, a excepció dels emails poc amigables que hem rebut els mitjans, poc més s’ha sabut, demostrant una evident incapacitat per gestionar la problemàtica de cara al seu públic.
Els més suspicaços han suposat que pot tractar-se d’una mesura per part d’Apple per fomentar l’ús de iMessage entre els seus clients, una cosa contraproduent i que cau pel seu propi pes si tenim en compte que la companyia de la poma també ingressa diners (i no poc) amb les vendes de WhatsApp. A més, ells són els últims interessats en generar alarma al voltant d’una de les aplicacions estrelles del seu sistema operatiu, de la seguretat sempre han presumit.
Sospito que la política de mutisme i negació per part dels creadors de l’aplicació es mantindrà quan aquesta recuperi el vistiplau per aparèixer a l’App Store, de manera que possiblement mai sapiguem què va ser la gota que va fer vessar el got divendres passat. I una vegada més ens tocarà esperar al treball dels investigadors anònims per saber si qüestions com la transferència d’informació sensible sense codificar han estat solucionades.
Vía | Genbeta



