Investigadores de seguridad han descubierto una falla grave de privacidad conocida como «Careless Whisper», que permite a los atacantes vigilar la actividad de usuarios en WhatsApp y Signal. Esto se logra a través de confirmaciones de entrega silenciosas, sin notificar a las víctimas ni requerir contacto previo.
Al enviar mensajes ocultos, como reacciones a contenidos ficticios o modificaciones con tiempo de espera agotado, los atacantes provocan respuestas de tiempo de ida y vuelta (RTT) que revelan el estado del dispositivo. Esto puede ser explotado utilizando únicamente un número de teléfono.
Este problema afecta a más de tres mil millones de usuarios de WhatsApp y millones de usuarios de Signal, permitiendo un seguimiento constante o un consumo excesivo de batería.
Los atacantes llevan a cabo acciones invisibles, como reacciones automáticas o eliminación de reacciones, que provocan confirmaciones de entrega desde cada dispositivo afectado, incluso sin chats activos.
Estas confirmaciones muestran variaciones en el RTT: alrededor de un segundo con la pantalla encendida, dos segundos con la pantalla apagada y 300 milisegundos si la aplicación está en primer plano en iPhones.
Los pings de alta frecuencia, que pueden llegar a ser inferiores a un segundo en WhatsApp, aumentan la precisión sin notificaciones, a diferencia de métodos anteriores que estaban limitados por alertas. La compatibilidad multidispositivo agrava el problema, ya que los clientes adicionales (como la web y la aplicación de escritorio) responden de manera independiente, dificultando la detección de cambios en el estado de conexión.
Según el informe.
En pruebas efectivas, los investigadores monitorearon conexiones Wi-Fi/LTE, llamadas y la sincronización de un portátil conectado a un teléfono Xiaomi a través de diversas redes.
Los patrones de RTT permiten identificar sistemas operativos basándose en el orden de los mensajes recibidos; son distintos en WhatsApp para Android/iOS y presentan un apilamiento inverso en macOS. Variaciones en estos patrones pueden distinguir chipsets como Qualcomm y Exynos.
Los atacantes pueden deducir horarios, tiempo de uso en pantalla o aplicaciones empleadas, extendiendo desde la geolocalización a gran escala en investigaciones previas hasta comportamiento a nivel de segundos.
Las reacciones de gran tamaño (cargas útiles de 1 MB) generan un tráfico de hasta 3.7 MB/segundo, lo que equivale a 13 GB/hora, lo que puede causar un aumento silencioso en el consumo de datos o un agotamiento de la batería entre un 14% y un 18% por hora en teléfonos iPhones y Samsung, sin límites de velocidad que frenen estas ráfagas continuas.
Reportado en septiembre de 2024, Meta confirmó estos hallazgos, pero no se emitió un parche tras 14 meses, mientras que Signal no ha respondido a este problema.
Los investigadores aconsejan a los usuarios limitar los mensajes de desconocidos en su configuración de privacidad como una medida de protección temporal.
Fuente:
CyberSecurityNews
Con Información de blog.segu-info.com.ar