Después de haber estado jugando con WhatsApp para encontrar una forma de saber si alguien había leído o no los mensajes, empezamos a jugar con los grupos. Primero utilizándolos como forma de saber si alguien te tiene bloqueado en WhtasApp y luego, para comprobar que dos personas en un mismo grupo de WhtasApp pueden hablar aunque se tengan bloqueados, lo que abrió una posibilidad de hacer algo gracioso.
Con la idea en la cabeza de conseguir hacer que un contacto pudiera enviar mensajes a una persona que lo tenga bloqueado se me ocurrió hacer una prueba con mis compañeros. La persona A tiene bloqueada a la persona B, entonces la persona B no puede enviarle mensajes. La alternativa es que la persona B le pida a la persona C que cree un grupo, y meta en él a la persona A y B, con lo que podrán enviarse mensajes incluso si están bloqueados.
Como esto funcionaba, se me ocurrió que lo suyo sería que hubiera un servicio en Internet al que alguien pudiera poner el número de teléfono de WhatsApp al que quiere enviar un mensaje y que le desbloqueara para que pudiera enviarle mensajes. El proceso sería tan sencillo como automatizar con alguna herramienta los clics que hay que hacer en un cliente WhatsApp Desktop o WhatsApp para algún terminal, para realizar este proceso, así que pedimos una SIM y le pedí a mis compañeros Pablo González y Ioseba Palop que lo implementaran.
Tras unos minutos de hablarlo entre ellos, fueron a hablar con nuestro compañeros César Calatrava, miembro del QA Team de CDO (área que abarca ElevenPaths, LUCA D3, 4ª Plataforma y AURA). César es un experto en la automatización de pruebas y el uso de herramientas como Selenium y Appium. Fue ésta última la que César nos recomendó y nos pasó documentación sobre cómo en QA la utilizaban para realizar pruebas automáticas sobre dispositivos móviles y Latch.
El proceso que debería tener el servicio es bastante sencillo, y exigiría la siguiente arquitectura:
Esto es una prueba de concepto de un servicio, que sin duda daría mucho juego a muchos usuarios, y que cualquiera podría hacerse en un pequeño rato. Como se puede ver la idea es sencilla y permite hablar con la persona que te bloqueó a través de WhatsApp. Aquí tenéis una demo en vídeo del proceso.
Al ser un grupo nuevo, si el destinatario entra a ver qué hay ahí, se enviará el doble check - ya se explicó que no se puede deshabilitar en los grupos -. Además, el servicio puede capturar la imagen y el mensaje de perfil de la cuenta A que tiene bloqueada a B - siempre que la tenga abierta para todos - y enviarla al usuario B. Y luego le podría entregar la administración del grupo y salirse de él para no dejar rastro y que para el usuario B el usuario C no exista. Por supuesto, el usuario A podría bloquear al usuario C en el futuro, pero de momento, el servicio funcionaría creando el grupo de conexión.
Saludos Malignos!
Más información en: Proteger WhatsApp a Prueba de Balas y Cómo Espiar WhatsApp
Figura 1: WhatsApp: Cómo conseguir que los mensajes lleguen a contactos que te bloquean |
Con la idea en la cabeza de conseguir hacer que un contacto pudiera enviar mensajes a una persona que lo tenga bloqueado se me ocurrió hacer una prueba con mis compañeros. La persona A tiene bloqueada a la persona B, entonces la persona B no puede enviarle mensajes. La alternativa es que la persona B le pida a la persona C que cree un grupo, y meta en él a la persona A y B, con lo que podrán enviarse mensajes incluso si están bloqueados.
Figura 2: Dos usuarios bloqueados pueden hablar (con check azul) si un tercero los mete en un grupo juntos |
Como esto funcionaba, se me ocurrió que lo suyo sería que hubiera un servicio en Internet al que alguien pudiera poner el número de teléfono de WhatsApp al que quiere enviar un mensaje y que le desbloqueara para que pudiera enviarle mensajes. El proceso sería tan sencillo como automatizar con alguna herramienta los clics que hay que hacer en un cliente WhatsApp Desktop o WhatsApp para algún terminal, para realizar este proceso, así que pedimos una SIM y le pedí a mis compañeros Pablo González y Ioseba Palop que lo implementaran.
Figura 3: El servicio web para desbloquearte en WhatsApp |
Tras unos minutos de hablarlo entre ellos, fueron a hablar con nuestro compañeros César Calatrava, miembro del QA Team de CDO (área que abarca ElevenPaths, LUCA D3, 4ª Plataforma y AURA). César es un experto en la automatización de pruebas y el uso de herramientas como Selenium y Appium. Fue ésta última la que César nos recomendó y nos pasó documentación sobre cómo en QA la utilizaban para realizar pruebas automáticas sobre dispositivos móviles y Latch.
El proceso que debería tener el servicio es bastante sencillo, y exigiría la siguiente arquitectura:
1. Sitio web en el que se introduzcan el número de teléfono del usuario bloqueado y el número de teléfono del usuario que te tiene bloqueado.
2. La web lanzará por detrás una llamada al código Python.
3. El script se conectará con el emulador de Android y se llevarán a cabo las acciones.
4. En primer lugar, se verificará si los números de teléfono recibidos se encuentran en la agenda.
5. En caso de que estén, directamente se crea el grupo.
6. En caso de no estén, se crearán los contactos en la agenda, para poder interactuar con ellos a través de WhatsApp.
7. Una vez comprobado esto, se crea el grupo metiendo al contacto que te ha bloqueado y a tu contacto.
8. Tienes un grupo llamado “Desbloqueando…” dónde podrás hablar con el usuario que te bloqueó.
9.- El servicio captura la imagen y el mensaje de perfil y te la envía en el caso de que esté pública
10.- Recibes el control del grupo Desbloqueando y el que lo creo desaparece.Aquí tenemos un ejemplo de código utilizado en Appium para automatizar la interacción con el emulador de Android.
Figura 4: Código en Appium para la PoC de Desblouqéame |
Esto es una prueba de concepto de un servicio, que sin duda daría mucho juego a muchos usuarios, y que cualquiera podría hacerse en un pequeño rato. Como se puede ver la idea es sencilla y permite hablar con la persona que te bloqueó a través de WhatsApp. Aquí tenéis una demo en vídeo del proceso.
Figura 5: PoC de "Desbloquéame WhatsApp"
Al ser un grupo nuevo, si el destinatario entra a ver qué hay ahí, se enviará el doble check - ya se explicó que no se puede deshabilitar en los grupos -. Además, el servicio puede capturar la imagen y el mensaje de perfil de la cuenta A que tiene bloqueada a B - siempre que la tenga abierta para todos - y enviarla al usuario B. Y luego le podría entregar la administración del grupo y salirse de él para no dejar rastro y que para el usuario B el usuario C no exista. Por supuesto, el usuario A podría bloquear al usuario C en el futuro, pero de momento, el servicio funcionaría creando el grupo de conexión.
Saludos Malignos!
Más información en: Proteger WhatsApp a Prueba de Balas y Cómo Espiar WhatsApp
Cual es la pagina web?
ResponderEliminarMuy buena la idea!
ResponderEliminarMe gustaría probarlo pero ando flojo de python ( hace 2 años que no lo uso ).
Crees que se podría llegar a hacer con código php? O con un NodeJS? Con PHP me parece más difícil porque creo recordar que no se puede interactuar con los elementos de la página en cuestión ( whatsapp web por ejemplo ).
De todas maneras, creo que algún dia me pelearé a crear el servicio para pasar el rato!
Saludos
Quisiera acer la prueba
EliminarQuiero que me desbloqueén
EliminarDesbloqueado
EliminarBuenísimo... interesante poder especificar el nombre del grupo. Así, si el usuario bloqueado sabe con anticipación el nombre exacto con el que su contacto está creado en el móvil de la víctima, el grupo tendría el mismo nombre. Incluso se podría poner como imagen de grupo la misma imagen de perfil que el usuario bloqueado (atacante). Muy interesante :-)
ResponderEliminarMuy buena chema,espero el link saludos
ResponderEliminarExelente
ResponderEliminarMaligno Alonzo link
ResponderEliminarY el Link?
ResponderEliminarBuen Trabajo ya esperare la pagina haha.
ResponderEliminarExcelente Chema... nos gustaria que publicases el link??
ResponderEliminarComo puedo acceder a la pagina web
ResponderEliminarSi no puso ningún link, no debe ser verdad
ResponderEliminarEs un POC
EliminarSi a ti te interesa, puedes crearlo tu mismo ;)
No entiendo como funciona
EliminarEl Link Chema :'v
ResponderEliminarEl Link de una puta vez
ResponderEliminarVaya tontería, de verdad.
ResponderEliminarWow... Qué buena idea, nunca me lo hubiese imaginado...
ResponderEliminarMuy buena tu experimentación, pero se te olvidó poner el link chemita...
¿El link para qué? ¿Para así saltarte la voluntad de otras personas? Eso se llama acoso. Que puedas hacer algo no quiere decir que tengas que hacerlo, o que te lo hagan. Y no creo que aquí promuevan el saltarte la obligación de joderte si te mandan a tomar por culo.
ResponderEliminarEl link para provarlo, estas acusandonos de acosadores por pedirlo?
ResponderEliminarMi madre es la mejor Hacker! Sin crear aplicacion web, sin scrip y sin necesitar a Chema me creo el grupo de WhatsApp y pude escribirle al que me bloqueó!!! Os ahogais en baso de agua macho! ¿cual es link chema? ¿Cual es la web Chema? ¿Cual es la página Chema?.... Vaya tela y aunque Chema sea un crack aveces nos vende la moto......
ResponderEliminarPues a ver si te vende un diccionario.
EliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarbueno, creo que lo que ha creado ha sido un grupo y ha incluido al que nos bloqueo,¿no?
ResponderEliminarSi, ¿Cuál es el link?, a mi me tienen bloqueadas unas personas a las que yo quiero muchísimo y me gustaría ponerme en contacto con ellas
ResponderEliminarLas estás acosando?
ResponderEliminarPues METAL, claro que no, solo intentando tener comunicación con esas personas porque son una pasada de personas, maravillosas y todo y para mi también lo son
ResponderEliminarQuiero escribirle pero quiero que soy yo como lo puedo aser
ResponderEliminarDonde puedo ver el link
ResponderEliminar