Investigadores
de la compañía de seguridad Symatec dieron a conocer un fallo en WhatsApp y Telegram que permite que hackers puedan alterar los archivos multimedia enviados a través de ambos servicios sin que los usuarios lo sepan.
Sin importar si las dos apps
utilizan tecnología de cifrado para proteger los mensajes de terceras personas, mediante la vulnerabilidad denominada ' Media File jacking', los cibercriminales pueden tener acceso a la manipulación de video e imágenes.
¿Cómo obtienen tus documentos multimedia?
De a cuerdo con la firma a través de un comunicado, la vulnerabilidad que solo afecta a los dispositivos Android , tiene lugar en el tiempo que pasa entre el momento en que los archivos multimedia recibidos a través de las aplicaciones se escriben en el disco y cuando se cargan en la interfaz de usuario de chat (UI) de las aplicaciones para que los usuarios las consuman.
Este lapso de tiempo crítico presenta una oportunidad para que los actores malintencionados intervengan y manipulen los archivos multimedia sin el conocimiento del usuario. Si se explota la falla de seguridad , un atacante malintencionado podría hacer un mal uso y manipular información confidencial , como fotos y videos personales, documentos corporativos, facturas y notas de voz. Los atacantes podrían aprovechar las relaciones de confianza entre un remitente y un receptor al usar estas aplicaciones de mensajería instantánea para beneficio personal o para causar estragos.
Las aplicaciones en Android pueden almacenar archivos e información en dos ubicaciones : interna y externa.
En el primer caso , los archivos solo pueden ser accesibles a través de la propia aplicación , lo que impide otras ' apps ' pueden acceder a ellos . Sin embargo, no sucede lo mismo con el almacenamiento externo , al cual sí pueden tener acceso otras 'apps'.
Por tanto, el hecho de que los archivos se almacenan y se carguen desde el almacenamiento externo sin los mecanismos de seguridad adecuados puede poner en peligro la integridad de los archivos multimedia. Si el atacante accede primero a los archivos, los destinatarios verán estos archivos manipulados antes de ver los originales.
El problema es que WhatsApp guarda los archivos en el almacenamiento externo de forma predeterminada y Telegram lo hace cuando la función “ Guardar en la galería" de la aplicación está activada.
Como protegerse
Para garantizar que los archivos multimedia se mantengan a salvo de actores maliciosos, Symatec recomienda:
Validar la integridad de los archivos
: Almacene en un archivo de metadatos un valor hash para cada archivo multimedia recibido antes de escribirlo en el disco. Luego, confirme que el archivo no se haya cambiado (es decir, el hash es el mismo) antes de que la aplicación cargue el archivo multimedia en la parte correspondiente del chat para que los usuarios lo vean.
Este paso puede ayudar a los desarrolladores a validar que los archivos no se manipularon antes de cargarlos. Este enfoque equilibra las necesidades de seguridad (protección contra ataques de Media File Jacking) y funcionalidad (por ejemplo, soporte de aplicaciones de respaldos de terceros) de las aplicaciones de mensajería instantánea.
Almacenamiento interno
: Si es posible, almacene los archivos multimedia en un directorio no público, como el almacenamiento interno. Esta es una medida que algunas aplicaciones de mensajería instantánea han elegido.
Cifrado
: Esfuércese por cifrar archivos confidenciales, como suele hacerse con los mensajes de texto en las soluciones de mensajería instantánea modernas. Esta medida, al igual que la anterior, protegerá mejor los archivos de la exposición y manipulación. El inconveniente es que otras aplicaciones, como las aplicaciones de respaldo de fotos, no podrán acceder fácilmente a estos archivos.
Con el lanzamiento de Android Q , Google planea implementar cambios en la forma en que las aplicaciones acceden a los archivos en el almacenamiento externo de un dispositivo.