Facebook indicó que pronto corregirá un error en la aplicación de mensajería, que podría permitir la elusión de una función de seguridad lanzada en enero último, para los dispositivos de Apple.
En enero, WhatsApp activó la compatibilidad con Face ID y Touch ID, que son los elementos de seguridad biométricos de Apple. La actualización permite a los usuarios establecer un intervalo de tiempo a partir del cual la aplicación solicitará la autenticación.
Los usuarios pueden elegir “inmediatamente” o posponer la autenticación hasta después de un minuto, 15 minutos o una hora. Es una función de compensación de conveniencia contra seguridad, que es común en muchas aplicaciones móviles. Es posible que los que abren WhatsApp con frecuencia no deseen que se les insista para que vuelvan a autenticar.
Un portavoz de Facebook dijo: “Somos conscientes del problema y en breve habrá una solución. Mientras tanto, recomendamos que los usuarios configuren la opción de bloqueo de pantalla, inmediatamente'”.
El requisito de autenticación puede eludirse mediante las extensiones de uso compartido de Apple, que permiten compartir material de una aplicación con otra. Por ejemplo, alguien puede acceder a una página web a través de un navegador móvil y, a continuación, enviar un enlace al contenido a través de una cuenta de correo electrónico.
Reddit, un usuario explicó de qué se trata la vulnerabilidad. “Una vez abiertas las extensiones de uso compartido, el usuario puede seleccionar el icono de WhatsApp. No se requiere autenticación cuando se inicia la aplicación. Si alguien sale de la pantalla de inicio de iOS y vuelve a abrir WhatsApp, no se requiere autenticación”.
En el correo se indica que si WhatsApp solicita Touch ID o Face ID, es posible que funcione intentar el truco de compartir la extensión por segunda vez.
Es probable que el error no suponga un gran riesgo siempre y cuando los usuarios mantengan el control de su dispositivo.
iOS no requiere que los usuarios configuren una clave de acceso para bloquear el teléfono, por lo que un dispositivo sin clave de acceso sería vulnerable a esto si se deja desatendido.
Alternativamente, la mayoría de los usuarios establecen un código de acceso o un Face ID o Touch ID. Los usuarios también pueden establecer un período de tiempo en el que se requiere la autenticación a nivel de dispositivo, aunque se establece automáticamente en “inmediatamente” si se habilita Touch ID o Apple Pay.
Con información de: Xataka.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian