Amb més de 2.000 milions d’usuaris, WhatsApp és la plataforma de missatgeria més utilitzada. Malgrat que maneja grans quantitats d’informació personal, WhatsApp s’ha saltat per alt una fallada que permet als hackers anul·lar el teu compte simplement concomiendo el teu número de telèfon. Gràcies a dos estudiants d’Alacant, l’aplicació ha pogut treballar per a solucionar el problema.
“Estava treballant en el meu TFM sobre dades de WhatsApp i causalment vaig donar amb una pàgina que explica com recuperar el teu compte en cas de robatori”. Així és com Luis Márquez, estudiant de Ciència de Dades d’Alacant al costat del seu company, Ernesto Canales, van començar a sospitar sobre la vulnerabilitat del sistema. El que cap dels dos s’imaginava era el que finalment anaven a descobrir: una fallada de ciberseguretat que podria afectar a qualsevol dels 2.000 milions d’usuaris i que els podria provocar la pèrdua del seu compte per sempre. En aqueix moment, tampoc s’esperaven que el seu descobriment els convertira en els protagonistes d’un article en la prestigiosa revista Forbes.
La primera fallada: la verificació per SMS
El problema ve dau per dues fallades diferents. En primer lloc, el sistema de verificació mitjançant SMS. “L’atacant té el teu número, l’introdueix, però els SMS de verificació t’arriben a tu”, explica Márquez. La víctima rep un missatge amb un codi amb el qual accedir al compte. Per a l’usuari, aquest missatge passa desapercebut. El més probable és que en rebre un missatge no haurà donat importància i l’ignora. A l’atacant no li farà falta ni tan sols el codi, perquè la intenció no és entrar en la teua WhatsApp, sinó bloquejar-te el compte.
D’aquesta manera, repeteix aquest pas en diverses ocasions cada 12 hores, ja que aquest és el temps d’espera que determina l’aplicació. Cada vegada que introdueix el teu número i la sol·licitud de verificació, reps un SMS. Ja són diversos missatges, així que comences a sospitar. La qüestió és que no pots fer res amb aquests missatges.
A més, “no solament limita a l’atacant, també al de la víctima”, sosté Márquez. La víctima, en tenir la sessió oberta, no percebria res. En cas que l’haguera tancada, no podria tornar a entrar, perquè durant aqueixes 12 hores l’accés es bloqueja. La fallada d’aquest sistema de verificació és que “si es limita per tercera vegada 12 hores, et quedaràs sense WhatsApp per sempre”, alerta Márquez. Després del tercer intent, ja no apareix la finestra que indica que “queden 12 hores”. En el seu lloc, et trobes amb “Queden 1 segons”. Tal com afirma Márquez, “és un missatge d’error que et deixa el compte bloquejat permanentment”.
El segon problema: compte perdut / robat
El segon error permet al hacker expulsar-te de la teua sessió, encara que estiga oberta en el teu telèfon. «Fins i tot encara que tingues la verificació en dos passos«, aclareix Márquez. Això, al costat del bloqueig d’accés mitjançant excés de sol·licituds de SMS de verificació, farà que no pugues tornar a entrar mai més. L’atacant envia un mail al suport de WhatsApp, support@whatsapp.com, comunicant que ha perdut mòbil. Selecciona l’opció de “compte perdut / robat”. El correu electrònic de resposta li dóna l’opció a desactivar el número. L’atacant inclou el teu número. A continuació, WhatsApp envia una resposta automàtica sol·licitant el número novament. Finalment, l’atacant compleix i la sessió en el mòbil de la víctima s’esborra. En el mòbil apareix un missatge que diu: «El seu número de telèfon ja no està registrat amb WhatsApp en aquest telèfon».
Si el compte no s’haguera bloquejat, es podria tornar a registrar novament. No obstant això, “no pots verificar-te perquè ja han utilitzat tots els intents permesos”. En ingressar el teu número per a registrar-te, demana un codi de verificació, però el missatge no arriba. No pot sol·licitar un nou codi. Intentes ingressar el codi del SMS que vas rebre amb anterioritat quan l’atacant estava en el pas un. Això ja no funciona, està embossat.
Per a major protecció, seria necessària una identificació mitjançant correu electrònic, per exemple, per a poder denunciar el robatori del mòbil i eliminar el compte. En canvi, el procés no associa cap compte”, compte l’estudiant que va descobrir la fallada.
La rectificació de WhatsApp
Canales i Márquez havien demostrat que amb tan sols el número de telèfon, poden expulsar-te de la sessió i bloquejar-te el compte per sempre. Van contactar amb WhatsApp per a informar-los de la vulnerabilitat del seu sistema. “Els escrivim quatre o cinc correus i ens van ignorar o van contestar amb missatges predeterminats”, lamenta Márquez. A diferència que l’aplicació, Forbes va atendre la seua petició i van mediar amb l’empresa. “WhatsApp ha arreglat el problema, però no ens han contestat ni dit res”, explica Márquez.
“Em quede amb ganes de provar alguna altra aplicació perquè la forma que tenen de validar-te per SMS sempre em sembla una mica vulnerable”, conclou Márquez. Gràcies a aquests estudiants, ara s’exigeix el correu, si tens la verificació en dos passos. Així, tenen una manera de comprovar la identitat del propietari del correu.