Por otra parte, también usa la misma clave para autenticar y verificar los mensajes (HMAC). El HMAC es un código que asegura que el mensaje no se ha modificado ni intencional ni accidentalmente por el camino. El problema es que, si usamos siempre el mismo, un atacante que esté entre un usuario y los servidores de Whatsapp puede reproducir cuantas veces quiera un mensaje, eliminarlo o reenviarlo de vuelta y ni el usuario ni los servidores sabrían que está pasando.
Y lo peor de todo no es ya que Whatsapp no consiga implementar bien la seguridad. Lo peor es que estos fallos se conocen desde hace más de diez años (Microsoft tuvo problemas por repetir claves RC4 en soluciones de VPN). En teoría, son fallos que alguien con una formación mínimamente decente en criptografía no debería cometer, lo que nos demuestra lo poco que se preocupa Whatsapp por su seguridad.
Whatsapp juega con el hecho de que esto no le importa a casi nadie. Y es cierto que, para la mayoría de los usuarios, no importa mucho la seguridad en un medio que, normalmente, no se usa para comunicar datos sensibles. Sin embargo, la seguridad es importante y puede que en algún momento este asunto les explote en la cara (aunque reconozco que parece difícil que un escándalo de este tipo influya demasiado en los usuarios).
Vía | Xnyhps