Investigadores de seguridad han expuesto una falla crítica de privacidad denominada "Careless Whisper" que permite a los atacantes monitorear la actividad de los usuarios en WhatsApp y Signal a través de comprobantes de entrega silenciosos, sin alertar a las víctimas ni necesidad de contacto previo. Al crear mensajes sigilosos como reacciones a contenido inexistente o ediciones que han caducado, los adversarios desencadenan respuestas de tiempo de ida y vuelta (RTT) que revelan el estado de los dispositivos, todo lo cual es explotable.
Investigadores de seguridad han expuesto una falla de privacidad crítica, denominada “Careless Whisper”, que permite a los atacantes monitorear la actividad de los usuarios en WhatsApp y Signal a través de comprobantes de entrega silenciosos, sin alertar a las víctimas ni necesidad de contacto previo.
Mediante la creación de mensajes sigilosos, como reacciones a contenido inexistente o ediciones que agotan el tiempo de espera, los adversarios desencadenan respuestas de tiempo de ida y vuelta (RTT) que revelan el estado de los dispositivos, todo explotable con solo un número de teléfono.
Esto afecta a más de tres mil millones de usuarios de WhatsApp y a millones en Signal, permitiendo el seguimiento rutinario o el agotamiento de la batería.
Los atacantes envían acciones invisibles, auto-reacciones, eliminaciones de reacciones o eliminaciones inválidas que provocan comprobantes de entrega individuales de cada dispositivo objetivo, incluso sin chats en curso.
Estos comprobantes exponen variaciones de RTT: aproximadamente un segundo para estados de pantalla encendida, dos segundos cuando está apagada y 300 milisegundos si la aplicación se ejecuta en primer plano en iPhones.
Los pings de alta frecuencia, hasta subsegundos en WhatsApp, amplifican la precisión sin notificaciones, a diferencia de los métodos abiertos anteriores, que están limitados por las alertas.
Las configuraciones de múltiples dispositivos empeoran la fuga, ya que los clientes complementarios (web, escritorio) responden por separado, lo que dificulta la detección de cambios en el estado en línea, como el arranque de un escritorio de oficina, según el informe.
En pruebas en el mundo real, los investigadores rastrearon los cambios de Wi-Fi/LTE de un teléfono Xiaomi, las llamadas y las sincronizaciones de portátiles a través de redes.
| Mensajero | Sigiloso de extraño | Sondeo de múltiples dispositivos | Comparación con Threema |
|---|---|---|---|
| Sí | Comprobantes independientes | Restrictivo, un solo comprobante | |
| Signal | Sí | Comprobantes independientes | Sin sondeos de extraños espeluznantes |
| Threema | No | Comprobantes sincronizados | N/A |
Los patrones de RTT identifican los sistemas operativos a través del orden de los comprobantes, separados en Android/iOS WhatsApp, apilados invertidos en macOS, mientras que la fluctuación distingue los chipsets como Qualcomm versus Exynos.
Los atacantes infieren horarios, tiempo de pantalla o uso de aplicaciones, pasando de la geolocalización a nivel de país en trabajos anteriores a un comportamiento con una granularidad de segundos.
Ofensivamente, las reacciones de gran tamaño (cargas útiles de 1 MB) obligan a un tráfico de 3,7 MB/segundo, 13 GB/hora inflando silenciosamente las facturas de datos o agotando las baterías entre el 14% y el 18% por hora en iPhones/Samsungs. No existen límites de velocidad que frenen las ráfagas sostenidas.
Informado en septiembre de 2024, Meta confirmó la evaluación pero no emitió un parche después de 14 meses; Signal ignoró los hallazgos.
Los investigadores instan a restringir los comprobantes a los contactos, agregar ruido RTT, validación del cliente de los ID de mensaje y límites de velocidad del servidor. Los usuarios pueden limitar los mensajes desconocidos en la configuración de privacidad como una defensa provisional.
Fuentes:
https://cybersecuritynews.com/hackers-leverage-delivery-receipts/
No hay comentarios:
Publicar un comentario