CONOCIMIENTO pertenece al mundo
Exclusivo : defensores de la privacidad critican la vulnerabilidad WhatsApp como un "gran amenaza a la libertad de expresión" y advierten que podría ser aprovechada por las agencias gubernamentales
Una puerta trasera de seguridad que se puede utilizar para permitir que Facebook y otros para interceptar y leer mensajes cifrados se ha encontrado dentro de su servicio de mensajería WhatsApp.
Facebook afirma que nadie puede interceptar los mensajes de WhatsApp, ni siquiera la empresa y su personal, asegurando la privacidad de sus usuarios más de mil millones. Pero una nueva investigación muestra que la compañía podría, de hecho, leer los mensajes debido a la forma WhatsApphas implementan su protocolo de cifrado de extremo a extremo.
defensores de la privacidad dijeron que la vulnerabilidad es una "gran amenaza a la libertad de expresión" y advirtió que puede ser utilizado por las agencias del gobierno para espiar a los usuarios que creen que sus mensajes sean seguros. WhatsApp ha hecho privacidad y seguridad de un punto de venta principal, y se ha convertido en un ir a la herramienta de comunicación de los activistas, disidentes y diplomáticos.
cifrado de extremo a extremo de WhatsApp se basa en la generación de claves de seguridad exclusivas, utilizando el protocolo de señal aclamado, desarrollado por Open Whisper Systems, que se negocian y se verifica entre los usuarios para garantizar las comunicaciones son seguras y no pueden ser interceptados por un intermediario. Sin embargo, WhatsApp tiene la capacidad de obligar a la generación de nuevas claves de cifrado para usuarios fuera de línea, sin el conocimiento del remitente y el destinatario de los mensajes, y para hacer que los mensajes de los remitentes Volver a cifrar con claves nuevas y enviarlos de nuevo por cualquier mensaje que no tienen ha marcado como entregado.
El destinatario no está al tanto de este cambio en el cifrado, mientras que el emisor sólo es notificado si se ha optado por las advertencias de cifrado en la configuración, y sólo después de que los mensajes han sido re-enviado. Esta re-cifrado y la retransmisión efectivamente permite a WhatsApp para interceptar y leer los mensajes de los usuarios.
La puerta trasera de seguridad fue descubierto por Tobias Boelter, un investigador de la criptografía y la seguridad en la Universidad de California, Berkeley. Él dijo a The Guardian: "Si WhatsApp se preguntó por una agencia del gobierno a revelar sus registros de mensajería, se puede conceder de manera efectiva el acceso debido al cambio de las llaves."
La puerta trasera no es inherente al protocolo de señal. aplicación de mensajería abierta Whisper Systems, de la señal, la aplicación utilizada y recomendada por los denunciantes Edward Snowden, no sufre de la misma vulnerabilidad. Si un destinatario cambia la clave de seguridad sin conexión, por ejemplo, un mensaje enviado no podrá ser entregado y el remitente será notificado del cambio de claves de seguridad sin necesidad de enviarlos automáticamente el mensaje.
aplicación de WhatsApp vuelve a enviar automáticamente un mensaje de no entregado con un duplicado de la llave sin avisar al usuario por adelantado o dándoles la posibilidad de prevenirla.
Boelter informó la vulnerabilidad de puerta trasera a Facebook en abril de 2016, pero se le dijo que Facebook estaba al tanto de la cuestión, que fue "el comportamiento esperado" y no se está trabajando de forma regular. The Guardian ha verificado todavía existe la puerta de atrás.
Steffen Tor Jensen, jefe de seguridad de la información y de contra-vigilancia digital en la Organización Europea-Bahrein para los Derechos Humanos, verificó los resultados de Boelter. Dijo: "WhatsApp puede continuar de manera efectiva voltear las claves de seguridad cuando los dispositivos están fuera de línea y volver a enviar el mensaje, sin dejar que los usuarios sepan del cambio hasta después de que se ha realizado, proporcionando una plataforma extremadamente insegura."
Boelter dijo: "[Algunos] Podría decirse que esta vulnerabilidad sólo podría ser objeto de abuso para espiar a 'single' de mensajes directos, no conversaciones enteras. Esto no es cierto si se tiene en cuenta que el servidor puede WhatsApp 'se recibió el mensaje por destinatario mensajes solo a término sin el envío de la notificación (o el doble de la garrapata), que los usuarios podrían no darse cuenta. El uso de la vulnerabilidad de retransmisión, el servidor de WhatsApp puede luego obtener una transcripción de la conversación entera, no sólo un único mensaje ".
La vulnerabilidad pone en duda la privacidad de los mensajes enviados a través del servicio, que se utiliza en todo el mundo, incluso por personas que viven en regímenes opresivos
Profesor Kirstie Ball, co-director y fundador del Centro para la Investigación de la Información, Vigilancia y privacidad, llamó la existencia de una puerta trasera en el cifrado de WhatsApp "una mina de oro para las agencias de seguridad" y "una enorme traición de la confianza del usuario". Y agregó: "Es una gran amenaza para la libertad de expresión, para que sea capaz de mirar a lo que está diciendo, si quiere. Los consumidores van a decir, no tengo nada que ocultar, pero no saben qué información se busca y qué conexiones se están haciendo. "
En el Reino Unido, la recientemente aprobada Ley de Poderes de Investigación permite al gobierno para interceptar datos en bloque de los usuarios en manos de empresas privadas, sin sospecha de actividad criminal, similar a la actividad de la Agencia Nacional de Seguridad de Estados Unidos no cubierto por las revelaciones de Snowden. El gobierno también tiene el poder de obligar a las empresas a "mantener las capacidades técnicas" que permiten la recolección de datos a través de la piratería y la interceptación, y exige a las empresas para eliminar la "protección electrónica" de datos. Intencional o no, la puerta trasera de WhatsApp para el cifrado de extremo a extremo se podría utilizar de tal manera para facilitar la intercepción gobierno.
Jim Killock, director ejecutivo del Grupo Abierto de Derechos, dijo: "Si las empresas afirman que ofrecen cifrado de extremo a extremo, que debe venir limpio, si se comprueba que se vea comprometida - ya sea a través de puertas traseras instaladas deliberadamente o fallos de seguridad. En el Reino Unido, la Ley de Poderes de Investigación significa que los avisos de capacidad técnica se podrían utilizar para obligar a las empresas a introducir defectos - lo que podría dejar los datos de las personas vulnerables ".
Un portavoz WhatsApp dijo a The Guardian: "A más de 1 mil millones de personas utilizan WhatsApp hoy porque es simple, rápido, fiable y seguro. En WhatsApp, siempre hemos creído que las conversaciones de la gente debe ser seguro y privado. El año pasado, nos dimos todos nuestros usuarios un mejor nivel de seguridad al hacer cada mensaje, foto, vídeo, archivos y llamar de extremo a extremo cifrado por defecto. A medida que introducimos características como el cifrado de extremo a extremo, nos centramos en mantener el producto simple y tener en cuenta cómo se utiliza cada día en todo el mundo.
"En aplicación del protocolo de señal de WhatsApp, tenemos un" Mostrar avisos de seguridad "de ajuste (opción de Ajustes> Cuenta> Seguridad) que le avisa cuando el código de seguridad de un contacto ha cambiado. Sabemos las razones más comunes son que esto sucede porque alguien ha cambiado los teléfonos o reinstalado WhatsApp. Esto se debe a que en muchas partes del mundo, las personas cambian con frecuencia los dispositivos y tarjetas SIM. En estas situaciones, queremos para asegurarse de que los mensajes de las personas se entregan, no se pierde en el tránsito ".
Se le pidió comentar específicamente sobre si Facebook / WhatApps había accede a los mensajes de los usuarios y si lo hubiera hecho a petición de los organismos gubernamentales u otros terceros, que dirige el Guardián a su sitio que detalla los datos agregados sobre las peticiones del Gobierno según el país.
WhatsApp tarde emitió otro comunicado diciendo: "WhatsApp no da a los gobiernos una" puerta trasera "en sus sistemas y combatiría cualquier solicitud del gobierno para crear una puerta trasera."
Las preocupaciones sobre la privacidad de los usuarios de WhatsApp se ha destacado en repetidas ocasiones desde Facebook adquirió la compañía por $ 22 mil millones en 2014. En agosto de 2015, Facebook anunció un cambio en la política de privacidad que rigen WhatsApp que permitió la red social de combinar datos de los usuarios de WhatsApp y Facebook, incluyendo números de teléfono y uso de la aplicación, con fines publicitarios y de desarrollo.
Facebook detuvo el uso de los datos de usuario compartidos con fines publicitarios en noviembre tras la presión de la agencia paneuropeo de protección de datos Grupo de Trabajo groupArticle 29 de octubre. La Comisión Europea presentó entonces cargos contra Facebook para proporcionar información "engañosa" en el período previo a la adquisición de la red social de los servicios de mensajería WhatsApp, tras su cambio de intercambio de datos.
Fuente: https: //www.theguardian.com/
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario