"Mi Hacker" desarrollando su mirada "hacker" buscando fallos en WhatsApp

Hoy quería contaros una historia curiosa con mi hija mayor, a la que ya sabéis que llamo cariñosamente "Mi Hacker v2.0" porque desde que nació cambió los ejes de mi vida. A ella le gusta la tecnología, y desde muy pequeña la he enseñado cosas. Algunas veces trucos de hacking, otras simplemente tecnología, pero sobre todo a buscar las esquinitas de la tecnología y saber que algo era una pista porque no estaba funcionando como debía.

Figura 1: "Mi Hacker" desarrollando su mirada

"hacker" buscando fallos en WhatsApp

De eso os conté hace poco como descubrió un pequeño "leak" con el PIN de desbloqueo de WhatsApp, y le hizo mucha ilusión que yo publicará el artículo que podéis leer en: "WhatsApp y el "leak" del PIN de Verificación en 2-Pasos".

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

De esto le cuento mucho, y lee mucho, como el libro de WhatsApp INT: OSINT en WhatsApp, así que, ha seguido afinando el ojo a ver si encontraba algo, y el otro día me mandó un vídeo explicándome algo que no estaba bien.

FaceID & Passcode en WhatsApp

Para explicármelo me envió un vídeo por WhatsApp y un mensaje donde me lo contaba. El proceso que ella uso comenzaba con WhatsApp desbloqueado, como podéis ver aquí. Sí, yo soy "Aa Papaete [corazones][corazones]". Me la como...

Figura 2: WhatsApp desloqueado

Lo siguiente que hace en el proceso de reproducción del fallo es entrar dentro de la carpeta de "Locked Chats" que ya os conté en el artículo: "WhatsApp Locks: Los Chats Restringidos y una pequeña Weakness de Privacidad cuando "resucitan"" no sólo cómo funcionan, sino que tienen un límite cuando lo eliminas, ya que vuelve a aparecer como un chat normal, algo que si leéis el artículo, estuve probando con "Mi Hacker v2.0".

Figura 3: Entrando en Locked Chats

Al entrar en los Locked Chats, lo que sucede es que WhatsApp te pide el Passcode, por seguridad, que es su forma de proteger el contenido de estos de descuidos con la app abierta ante gente curiosa cerca tuya. Y eso nos lleva a esta parte de la app.

Figura 4: Un chat en Locked Chats

Ahora, una vez allí, lo que hace es "minimizar" la app, cambiando de app dentro de iOS, para ir a otra parte del sistema operativo.

Figura 5: Minimizando WhatsApp

Y una vez allí, intentar volver a WhatsApp, donde la se le pide FaceID para desbloquear la app y poder entrar otra vez en los mensajes de la aplicación. Y lo que obtiene es un mensaje que dice que tiene que usar FaceID para poder entrar.

Figura 6: Unlock with FaceID to continue

Sin embargo, lo que le pide automáticamente no es FaceID, sino que cuando le da a FaceID le solicita el Passcode de iPhone para poder entrar.

Figura 7: Passcode de iPhone

¿Por qué? Pues porque la app de WhatsApp recuerda el chat en el que estabas y te lleva al mismo lugar de los Locked Chats, y por tanto hay que poner el passcode para entrar ahí.

Figura 8: Locked Chats

Al terminar el proceso estuvimos hablando un rato, sobre por qué pide FaceID cuando te va a pedir el passcode. Miramos a quitar FaceID del bloqueo de WhatsApp, para ver porque pedía las dos cosas, y la verdad es que el comportamiento es un poco "random", porque a veces a mí me pide FaceID sólo. Otras FaceID y luego el passcode (incluso cuando no hay bloqueo de app con FaceID).

Figura 9: App lock desactivado

Pero... ¿por qué os cuento esta historia? Pues porque me encanta el "thinking out of the box" que muestra "Mi Hacker v2.0" en estas discusiones. Hay algo que no acaba de encajar, y hay que encontrar qué es. Además de que tenga esa mirada fijándose en los detalles, que es lo que hace a un buen hacker serlo.  Las hipótesis son:

• Se necesita FaceID para activar los WhatsApp Locks y por tanto siempre comprueba FaceID como poco.

• Lo hace muy rápido, y pide el passcode sólo cuando no lo ha podido probar de forma segura.

• Si no hay FaceID en el bloqueo entonces siempre pide los dos.

Y ahora, que tenéis proceso, reproducidlo vosotros y a ver cómo funciona en vuestra versión y terminal, que seguro que hay algún matiz. Nosotros vamos a seguir probando todos los escenarios.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)