Cifrado de extremo a extremo no impide que Facebook acceda a los chats de WhatsApp
Introducción
- Durante su audiencia en el Congreso, Mark Zuckerberg afirmó que Facebook no tiene acceso a los chats de WhatsApp gracias al cifrado de extremo a extremo.
- Sin embargo, los canales de comunicación entre las aplicaciones de iOS de WhatsApp y Facebook podrían utilizarse para filtrar datos de todo el historial de chat.
- El objetivo de este artículo no es afirmar que Facebook espía en chats de WhatsApp, sino que WhatsApp y Facebook utilizan ese cifrado de extremo a extremo como un argumento falso y engañoso para tranquilizar al público.
Contexto
En agosto de 2016, WhatsApp anunció en una publicación que comenzaría a compartir cantidades limitadas de datos con su empresa matriz Facebook.
En ese momento, el cifrado de extremo a extremo se presentó como una fuerte protección de la privacidad:
“También estamos actualizando estos documentos para dejar en claro que hemos implementado el cifrado de extremo a extremo… tus mensajes cifrados se mantendrán privados y nadie más podrá leerlos. Ni WhatsApp, ni Facebook, ni nadie más”.
Es claro: ¡no hay nada que temer! El cifrado de extremo a extremo evita que Facebook espíe tus chats. Y así es exactamente como lo entendieron los medios de comunicación en ese momento. El aviso legal de WhatsApp se actualizó simultáneamente y presenta un lenguaje muy similar:
“Tus mensajes son tuyos y no podemos leerlos. Hemos incorporado privacidad, cifrado de extremo a extremo y otras características de seguridad en WhatsApp. No almacenamos tus mensajes una vez que han sido enviados. Cuando están cifrados de extremo a extremo, nosotros y terceros no podemos leerlos “.
Vale la pena señalar: el párrafo anterior se titula “Nos unimos a Facebook en 2014″.
Pasemos a la audiencia del Congreso de Mark Zuckerberg (transcripción de WSJ); Está claro que esta retórica no ha cambiado y es compartida por WhatsApp y Facebook:
En síntesis, el afirma que WhatsApp está cifrado y no hay posibilidad de espiar las conversaciones.
Causalidad…
Por lo tanto, el énfasis es mío para subrayar cómo la causalidad está fuertemente implicada entre el cifrado y la imposibilidad de que Facebook acceda a tus chats.
Pero simplemente no es verdad. Facebook podría acceder a sus chats de WhatsApp. De hecho, podría acceder fácilmente a todo su historial de chat y a cada archivo adjunto.
No digo que sí, y no tengo evidencia que sugiera que alguna vez lo haya hecho. Pero como los usuarios de Android han descubierto recientemente que Facebook ha recopilado su historial de llamadas y datos de SMS.
Por ello creo que es importante examinar los medios por los cuales Facebook ya está en condiciones de recopilar nuestros datos de WhatsApp, desde cualquier iPhone con iOS 8 y superior.
Sandboxing permeable
En sus primeras iteraciones, el sistema de archivos iOS estaba estrictamente protegido: las aplicaciones solo podían acceder a los archivos en su propio contenedor, lo que aumentaba en gran medida la seguridad y la privacidad.
Pero esta elección pro-privacidad de la era de Jobs llegó con importantes advertencias: no se podía, por ejemplo, grabar audio en una aplicación y editarla en otra. O trabajas en un documento de Pages y luego lo cargas a un servidor FTP con una aplicación de administrador de archivos.
Existían algunas soluciones torpes, pero se hizo cada vez más claro que el sandboxing estricto estaba obstaculizando la productividad.
La adopción de iOS en entornos más profesionales también puede haber sido deficiente debido a estas restricciones.
Cambios
Con iOS 8, Apple introdujo extensiones, pequeñas aplicaciones integradas en su aplicación principal, que podrían realizar tareas específicas como compartir un documento o enviar contenido a Apple Watch.
Las aplicaciones y sus extensiones pueden compartir archivos ubicados en un contenedor especial, denominado contenedor compartido.
Además, se introdujeron los grupos de aplicaciones: un desarrollador ahora podía registrar todas sus aplicaciones en el mismo grupo de aplicaciones. Así podía configurar un contenedor compartido para permitir que las aplicaciones del mismo grupo compartan activos y documentos.
En algún momento después de adquirir WhatsApp, Facebook lo registró como parte del mismo grupo de aplicaciones que las aplicaciones Facebook Messenger y Facebook.
No estamos seguros de cuándo exactamente hicieron esto, pero probablemente alrededor de agosto de 2016 después del anuncio de intercambio de datos.
Más importante aún, Facebook y WhatsApp ahora tenían una forma privilegiada de compartir información a través de los límites tradicionales de sandboxing, a través de un contenedor compartido llamado group.com.facebook.family.
Sabemos esto porque para que iMazing realice una copia de seguridad y restaure las aplicaciones de forma selectiva, teníamos que entender qué contenedor compartido pertenecía a qué aplicaciones y también empaquetar esos contenedores.
Cuando descubrimos cómo hacerlo, decidimos exponer esos contenedores compartidos en el navegador de archivos de respaldo de iMazing:
¿No están cifrados los chats de WhatsApp de todos modos?
Es complicado. Los mensajes se cifran cuando los envía, sí. Pero la base de datos que almacenan tus chats en tu iPhone no se beneficia de una capa adicional de cifrado.
Estás protegido por la protección de datos estándar de iOS, que descifra los archivos sobre la marcha cuando sea necesario. Aquí está dicha base de datos, extraída de la copia de seguridad de mi iPhone con iMazing:
Sin cifrado adicional. Marcas de tiempo, texto, desde y hacia nombres, números de teléfono, rutas a archivos adjuntos; todo está allí, suficiente para reconstruir todo tu historial de chat.
Y lo mejor: a un buen desarrollador de iOS le tomaría unos pocos días establecer el código en las aplicaciones de Facebook y WhatsApp que pudieran copiar discretamente esta base de datos de una aplicación a otra, a través de su contenedor compartido.
Nuevamente, no estoy afirmando que esto esté sucediendo, ni que haya sucedido alguna vez. Pero las herramientas están ahí.
Y cuando Mark Zuckerberg declara ante el Congreso de los Estados Unidos que ” todo está cifrado”, es ignorante en el mejor de los casos.
¿Esperanza?
Facebook está bajo tal escrutinio que, si hiciera algo tan extremo como recopilar chats de WhatsApp, los investigadores de seguridad lo descubrirían rápidamente.
¿Pero lo haría realmente? Todos extrañaron el hecho de que estaban recopilando datos de SMS de usuarios de Android durante más de un año.
Y para investigar cómo las aplicaciones de iOS administran los datos del usuario, uno necesita un dispositivo con jailbreak: ¿qué sucede si ya no hay jailbreak disponible? ¿Confiamos en Facebook y dejamos de buscar?