Unas semanas atrás WhatsApp implementó el bloqueo por código en su app para proteger las conversaciones. Una funcionalidad que permite desbloquear la app y acceder a ella sólo cuando se autentica el usuario con el Touch ID o el Face ID del iPhone. O eso creíamos, pues un error de seguridad permite acceder a las conversaciones saltándose la autenticación del usuario.
La vulnerabilidad en WhatsApp para iOS pasa por acceder al contenido mediante procesos secundarios, como suele ocurrir con este tipo de vulnerabilidades. En algún momento del proceso de diseño de la nueva funcionalidad, alguien no pensó que hay más formas de acceder a WhatsApp que no sean pulsando el icono de la app. Y eso es lo que se ha descubierto.
El menú para compartir como puerta de entrada
Según ha descubierto un usuario de Reddit, desde el menú para compartir con la extensión de WahtsApp se puede acceder a la app. el requisito es que el usuario no haya puesto que por defecto se pida el código inmediatamente después de cerrar la app. Si está puesta la opción de Después de 1 minuto, 15 minutos o 1 hora... funciona. Los pasos son los siguientes:
- Desde cualquier app (por ejemplo Fotos) accede al menú de compartir compartiendo un archivo.
- Trata de compartirlo en WhatsApp. La app se abre sin necesidad de autenticación por Touch ID o Face ID.
- Ahora puedes volver a la pantalla de inicio del iPhone y entrar directamente a WhatsApp, ya que la app ha restablecido el tiempo desde el último acceso.
Si el intervalo configurado en la app es de 1 minuto, podrás acceder durante el próximo minuto. Si es de 15 minutos tienes esos 15 minutos y con una hora ocurre lo mismo. Independientemente, si ha pasado el tiempo permitido sólo hay que hacer el proceso de nuevo y hay acceso de nuevo.
Qué puedes hacer para que no te afecte la vulnerabilidad
Facebook (responsable de WhatsApp) se ha puesto en contacto con Reuters y ha confirmado que son conscientes del error y están trabajando para solucionarlo lo antes posible. Mientras esa solución llega en forma de actualización, ¿hay alguna cosa que podamos hacer como usuarios?
Desactivar la opción de compartir en WahtsApp no sirve, pues cualquier persona puede activar de nuevo la extensión sin pasar por WhatsApp y sin necesitar ninguna autorización o código. Sin embargo, como ya hemos visto sólo afecta si tenemos seleccionado un intervalo de tiempo para requerir la autenticación de nuevo. Por lo tanto, lo mejor es cambiar la opción para que se requiera la autenticación "Inmediatamente". Lo encontrarás en WhatsApp > Configuración > Cuenta > Privacidad > Bloqueo de pantalla > Inmediatamente. Quizás sea algo más tedioso pero esencial hasta que WhatsApp se actualice.
Imagen | Unspalsh
Ver 10 comentarios