La funcionalidad de compartir ubicación disponible en WhatsApp, la popular aplicación de mensajería instantánea, podría revelarle a cibercriminales o espías dónde te encuentras.
Para compartir la ubicación, es necesario primero abrir una conversación y localizarse en Google Maps, como muestra la siguiente captura:
Una vez seleccionada, WhatsApp la envía junto a una imagen de vista previa (thumbnail). Según el reporte publicado por el UNH Cyber Forensics Research & Education Group, la falla radica en que la aplicación descarga esta imagen desde un canal de Google que no está cifrado, el cual podría ser intervenido en un ataque Man In The Middle (MITM). Así lo demuestra el video que los investigadores difundieron:
“Al enviar la ubicación a través de WhatsApp pudimos reconstruir la imagen que se manda, como muestra el video. Notamos que la información se captura sólo cuando la imagen fue descargada desde Google Maps, que era la fuente, y el destino era la IP del teléfono que usamos. No pudimos interceptar la imagen hasta que el mensaje fue enviado desde el dispositivo, lo que indica que la descarga de la misma no ocurría hasta que el envío fuera completado”.
Es importante destacar que la comunicación entre el smartphone y el servidor de la compañía está cifrada con protocolo SSL, lo que significa que todo lo que se envía a través de la aplicación está protegido de ataques Man In The Middle.
Además, la popularidad de WhatsApp a nivel mundial la convierte en un atractivo blanco para los cibercriminales. Durante los últimos meses hemos reportado casos como el falso mensaje que descargaba malware, o la campaña fraudulenta que ofrecía WhatsApp para PC en Brasil. Por lo tanto, sus usuarios se encuentran frente a varios desafíos de seguridad para utilizarla sin ser víctimas de ataques informáticos.
Según la publicación del UNH Cyber Forensics Research & Education Group, el bug fue reportado a WhatsApp, desde donde afirmaron que se ha implementado una solución en las últimas versiones beta de la aplicación.
La compañía lanzará la versión parcheada en Google Play, pero mientras tanto, es recomendable que los usuarios no compartan su ubicación a través de WhatsApp si están conectados a redes Wi-Fi públicas o desconocidas, hasta tanto se solucione la falla.