sábado, mayo 21, 2022

WhatsApp: Cómo saber en qué ubicación se encuentra un contacto de WhatsApp con solo una canción

Hace poco se hablaba en este blog de cómo con los Estados de WhatsApp se pueden utilizar para saber dónde está, en que ubicación GPS, un contacto de WhatsApp. El truco es sencillo, captura la dirección IP desde la que un contacto de WhatsApp hace clic en un enlace publicado en un Estado. La gracia o la debilidad en ese punto es que WhatsApp no avisa de los riesgos de navegar a una dirección web que pueda estar controlada y que pueda capturar la dirección IP y su ubicación y, por otro lado, que cuando se da el registro de accesos a los estados lo da minutado con detalle, algo que no hace, por ejemplo, en las Stories de Instagram.

Figura 1: Cómo saber en qué ubicación se encuentra un
contacto de WhatsApp con solo una canción

Sin embargo, esto no es nada nuevo, y el truco para saber dónde se encuentra ubicada una persona, por ejemplo para saber dónde vive un contacto de WhatsApp, o dónde está e n un momento concreto alguien, se conoce desde hace tiempo haciendo lo mismo, es decir, haciendo que un contacto pinche en un enlace que le envías por el chat y que lleva a un servidor web controlado en el que se captura la dirección IP.

Figura 2: Esquema del ataque para capturar la dirección IP

En este caso tienes que hacer uso de la ingeniería social, y para hacerlo mucho más creíble todo, hemos hecho un ejemplo en donde configuras una dirección de una canción de Spotify que va a ser el gancho. El servidor, va a devolver una previsualización como el que devuelve, por ejemplo, Spotify, y el enlace será de un dominio controlado por ti. 

Figura 3: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Cuando el usuario habla clic y navegue a nuestro servidor, la página web que controlamos captura la dirección IP y hace un REDIRECT a la URL de Spotify donde se encuentra la canción que hemos usado de gancho, y la víctima podrá escucharla.

Figura 4: La primera URL hace el Preview de la canción porque:
1) Tiene un dominio y 2) no lleva parámetros

Como podéis ver, en la conversación de chat hay dos ejemplos para que podáis entender el comportamiento de WhatsApp. Si la URL tiene un dominio y no una dirección IP y, además, la URL no está parametrizada - lo que podría significar un parámetro de tracking de usuarios únicos, entonces hace la previsualización.

Figura 5: Datos que se pueden sacar de un servicio de GeoIP

Desde el punto de vista técnico es muy sencillo, pero obliga a hacer una URL diferente por cada contacto donde se quiera utilizar. O usar la misma dirección, pero de uno en uno para poder diferenciar quién hizo clic. 

Figura 6: Servicios de GeoIP en Internet

El resultado es el mismo, al final, si el usuario hace clic, se captura la dirección IP, se pasa por un servicio de GeoIP y se saca toda la información de geo-localización de esa dirección. 

Figura 7: El servicio devuelve coordenadas GPS

No siempre es muy ajustada, pero puede llegar a serlo. De pendiendo de la calidad del servicio de GeoIP, tendrás más fina y revisada la ubicación donde se encuentra esa dirección IP. Mañanas os cuento cómo revisar cómo de susceptible es tu dirección IP, para que lo pruebes en casa en un momento.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares