Un "pequeño" leak de privacidad de WhatsApp con tu nombre para hacerte Spear-Phone-Phishing
Hoy quería hablaros de un pequeño Leak de privacidad de WhatsApp que he estado intentando entender durante unas semanas, hasta que ayer ya le pedí a mi grupo de amigos que me ayudaran para poder entender bien cómo funciona esta incontrolable característica de privacidad que me ha tenido intrigado durante un tiempo.
Figura 1: Un "pequeño" leak de privacidad de WhatsApp con tu nombre para hacerte Spear-Phone-Phishing |
Como sabéis, cualquier pequeño detalle en las apps de mi iPhone lo persigo para entender las configuraciones por defecto, los funcionamientos, y si pueden ser "weaponizadas" o no. Fruto de esa observación luego salen cosas como Dirtytooth, las JavaScript Botnets para controlar los iPhone con Fake APs por no hacer filtrado de BSSID, el bug de WhatsApp for iPhone FaceID ScreenLock ByPass, Desbloquéame WhatsApp, o los artículos sobre la privacidad de Telegram, cómo evitar el check azul en mensaje de audio WhatsApp, el leak de privacidad en iPhone que des-oculta tu número de teléfono o cómo ocultar tu foto de perfil a un solo contacto de WhatsApp, por citar solo algunos.
Figura 2: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros. |
Todos ellos al final van generando un compendio de cosas que luego metemos en el libro de Hacking iOS: iPhone & iPad (2ª Edición) de 0xWord, o que yo utilizo para hacer otras investigaciones como el caso de las Gremlin Botnets. Se trata de entender cómo funciona algo para ver si está funcionando bien, mal o puede ser "weaponizado". Y éste leak en concreto tiene unos puntos curiosos.
La privacidad de tu información en WhatsApp
Cuando te configuras una cuenta de WhatsApp que vas a utilizar en tu vida personal o profesional, básicamente añades tres cosas, que son: Tu Fotografía de Perfil. Tu Nombre. Tu información de "Sobre mí" o "About". Tres cosas muy sencillas que tienes en la siguiente imagen.
Y ahora le damos algo de protección a esa información. En WhatsApp puedes configurar las opciones de privacidad para que tu información más personal, es decir, tu fotografía, la información de última conexión - que servía para hacer mapas de uso remotamente como nosotros hicimos con Telegram -, tu información de "About", tu Estado - si usas las "stories" de WhatsApp - no se comparta con nadie que no esté en tu agenda de contactos.
A esto, además, puedes configurar quién te incluye en Grupos de WhatsApp, que tiene que ver con el problema de "Desbloquéame" y el "Spam" de los que ya hablamos. Hasta aquí todo bien, pero resulta, que hay algo que no entra en esa categoría. Algo que no hay forma de controlar a quién, cómo y cuándo se comparte. Y es tu Nombre en WhatsApp. Y el problema es que no se puede controlar.
Por alguna razón, WhatsApp comparte tu nombre con todo aquel al que envíes un mensaje una vez, esté en tu agenda de contactos o no lo esté, y no hay forma de evitar que lo haga.
Es decir, que si a alguien que se ha equivocado le has contestado "Te has equivocado", le has enviado tu nombre de WhatsApp. A todo usuario al que le hayas escrito un mensaje. Y como digo, no hay opción de privacidad en WhatsApp para evitar esto.
Cómo sacar el nombre de los usuarios de WhatsApp
Visto esto, yo he estado usando esta característica para poder sacar información de mis contactos de WhatsApp cuando los tenía apuntados por un apodo, por un mensaje mnemotécnico o simplemente por curiosidad. El proceso es sencillo.
1) Vete al chat de WhatsApp de uno de tus contactos y deja WhatsApp abierto en esa pantalla.2) Vete a los contactos de tu iPhone o Android y busca a ese contacto. Elimínalo.3) Vuelve a WhatsApp y pincha sobre el número de teléfono de ese chat para ver la información del contacto.4) Debajo del número de teléfono aparece el nombre el usuario sin que esa persona sepa qué hacer para evitarlo.
Figura 5: Ese número es de Laura Murillo.
(Gracias por colaborar en el experimento ayer)
Claro, esta es una opción de accesibilidad muy chula, pero si el usuario no puede controlarlo es un leak de privacidad que puede ser utilizado malamente el problema puede ser grande. Primero porque no sabe que esto funciona así. Segundo porque no lo puede controlar Y el que conozca este truco lo puede usar en su favor, como hacen los magos.
Figura 6: Libro Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet |
Para ello, imagina que tú quieres saber quién se esconde detrás de un número de teléfono en un Doxing para hacer informe de Ciberinteligencia (OSINT) e investigar una persona o una identidad como explican Vicente Aguilera y Carlos Seisdedos en su libro, que es algo muy común en una investigación. El proceso en este caso con este leak es muy sencillo:
1) Dalo de alta en tus contactos de iPhone o Android
Figura 7: Apple nos dice que tiene un iPhone porque activa FaceTime, lo que
será más información para el ataque de ingeniería social para robarle el AppleID.
2) Búscalo en WhtasApp y mándale un mensaje de ingeniería social.
"Perdona, hemos encontrado una cartera con un DNI y este número de teléfono. ¿Has perdido por casualidad tú cartera?".
3) Borra el contacto de iPhone o Android y ve a la info de ese chat en WhatsApp antes de que conteste. Verás que no sale el nombre de quién tiene ese número de teléfono.
4) Espera un mensaje de contestación por WhatsApp. Verás que aparece el nombre.
Figura 9: Se puede ver el nombre de Malena. La hija de un amigo que
se prestó a jugar conmigo al juego de "¿sabes quién soy?"
Lo que permitiría a una persona que se hiciera con el listado de números de teléfono, por ejemplo, contratados por una empresa, averiguar quién está detrás de cada uno de ellos, para preparar un ataque más elaborado o para hacerte una venta más dirigida, o como vamos a ver, robarle las cuentas a cada uno de ellos con Ingeniería Social y Spear-Phone-Phishing.
Spear Phone Phishing
Vamos a suponer un escenario de Spear-Phone-Phishing en el que queremos robarle las credenciales de acceso a un servicio a una persona, para ello queremos que nos de el Token de autenticación de WhatsApp para registrar su cuenta, o el Token de Verificación para cambiar una contraseña de un servicio.
Es decir, registramos el número de WhatsApp en un terminal y nos falta el paso de conseguir su Token de autenticación - ese que podríamos recoger del buzón de voz -, o imaginad que queremos recuperar la contraseña de AppleID o Google, o cualquier servicio donde se haya configurado el número de teléfono como forma de recuperar la contraseña. La conversación podría ser como sigue.
- "Hola buenos, días, ¿Es usted Pedro Martínez?"
Pues claro que saben que eres Pedro Martínez, ya lo han sacado con un número falso o un bot de WhatsApp e ingeniería social con el leak anterior, y ya tienen ese dato antes. Y ya, de momento, sabes que es una llamada para ti y te pones en otro modo. Y ahora le damos el toque de Ingenieria Social que dinamite la protección que todos tenemos metiéndole un punto de nerviosismo extra a la persona poniendo en riesgo lo que más preocupa: Su dinero.
Como decía antes, si te llaman por tu nombre a tu número de teléfono particular seguro que ya le haces más caso. Ahora, si esta información la completan, por ejemplo, sacando las iniciales de tus apellidos y sabiendo que tienes una cuenta en un banco, usando el truco de Bizum que os conté hace tiempo, el ataque es mucho más efectivo. Vamos a meterle el miedo en el cuerpo.
- "Sí, soy yo, ¿qué quería?"
- "Le llamamos de la seguridad de pagos bancarios de su banco. Por motivos de su propia protección y seguridad vamos a grabar esta conversación.
- "Señor Martínez, ¿ha hecho usted un pago hace 20 minutos por Bizum por valor de 500 €?"
Claro que no los ha hecho, es una trola. Pero como buenos magos tenemos datos que le han metido el miedo en el cuerpo. Sabíamos su nombre, su número de teléfono particular, sus apellidos - al menos las iniciales -, y sabíamos que usa Bizum. Y que le diga que hay 500 € que han salido de su cuenta es el acicate principal para que la víctima tenga un nuevo objetivo: Recuperar su dinero. El atacante ha alienado sus objetivos con los de la víctima.
- "No, no, yo no he hecho ningún pago".
- "Tranquilo, señor Martínez, vamos a proceder a verificar que usted es el dueño de la cuenta y le daremos la opción de anularlo. Le vamos a mandar un mensaje con un código de seguridad desde la plataforma de pagos para que podamos garantizar que usted es quien dice que es. Le llevará a su WhatsApp/iPhone/Android".
En ese momento el atacante pide el código de verificación que quiera y le llega a la víctima. Si el atacante le quiere robar el WhatsApp, y le ha dicho que a la víctima le va a llegar por WhatsApp todo estará ok para el usuario cuando le llegue ese mensaje de WhatsApp. Lo verá normal. Si le quiere robar el AppleID y le llega desde Apple al iPhone, todo ok. Si le quiere robar la cuenta de Google y le llega un mensaje al Android desde Google, todo ok también. Y si es otra cuenta o servicio, el resto de la conversación es sacarle datos para luego poder robarle claves de acceso en tiempo real a sus sistemas, o lo que el estafador quiera, que los hay muy imaginativos.
Figura 12: Libro de "Cómo protegerse de los peligros en Internet" de 0xWord de José Carlos Gallego Cano |
Al final, lo que os contaba al principio, es un sencillo leak de privacidad de WhatsApp que no entiendo porque no se puede controlar. Creo que WhatsApp debería meter esa opción dentro de las opciones de privacidad como un selector. Además, es bastante peculiar porque la mayoría de los usuarios no son conscientes de que esto pasa, lo que lo hace más peligroso aún. Os dejo la explicación en vídeo.
Supongo que, como sucedió con las opciones de los grupos de WhatsApp en Desbloquéame, acabarán metiendo esta opción de privacidad, pero mientras tanto, vigila qué información pones en tu nombre porque se la vas a entregar a todo el que envíes un mensaje de WhatsApp, lo tengas en contactos o no. Mientras tanto, toma todas las protecciones personales que puedas y ten cuidado con quién te envías mensajes.
Saludos Malignos!
Figura 14: Chema Alonso en MyPublicInbox
No hay comentarios:
Publicar un comentario