WhatsApp es una plataforma de comunicación importantísima a nivel mundial en la vida de muchas personas. Y, como hemos ido viendo a lo largo del tiempo, tiene una serie de "Leaks" o "Fuga de información" que se pueden "Weaponizar" o "Automatizar como ataque" que conviertan ese "Leak" problema de seguridad, o un "Bug" que debe ser subsanado. De todos esos "Leaks", "Weaponizations" y "Bugs" hablé largo y tendido en el artículo de hace unas semanas llamado "(Web)ScrAPIficar & Weaponizar WhatsApp".
Figura 1: WhatsApp dará control al usuario sobre el "leak" de
"Online" pero le quedan más "leaks" que arreglar #WhatsApp
Un de ellos es el "Leak de Online", que como vimos en la PoC que hicimos servía para explicar "Cómo vigilar 24 horas al día un contacto de WhatsApp". Tan simple como aprovechar que WhatsApp te avisa de si un usuario está Online o no lo está, lo que permite hacer una tabla con todos sus horarios. Ahora WhatsApp va a dar control al usuario para evitar esta vigilancia, lo que está genial.
Esto, que nosotros hicimos como PoC y no pusimos para disposición pública, se podía hacer incluso con servicios en la Web que cobran por ello. Es decir, que te dejan introducir un número de teléfono y vigilar a una persona. Y como esto se ha "Weaponizado", entonces WhatsApp ha decidido corregirlo y dar al usuario el control total de ese campo, para evitar estas situaciones en el futuro.
Pero no son los únicos "Leaks" que pueden ser "Weaponizados" aún, y no serán los últimos, así que el equipo de WhatsApp tendrá que ir arreglando los que aún le quedan en la lista, y de los que he hablado muchas veces en mis charlas y en mis artículos, como son estos siguientes:
- Compartir el nombre configurado: De igual forma, con cualquier mensaje que se envíe de WhatsApp, siempre, siempre, siempre, va la información de tu usuario. No hay forma humana de evitar esta filtración, que algunos estafadores han utilizado. Este es un "leak" que WhatsApp debe corregir, porque es muy grave.
- El "leak" del corrector ortográfico: Realmente es más de iOS que de WhatsApp, pero lo cierto es que escribir en WhatsApp en iPhone mensajes, hace que por defecto comience en mayúscula, mientras que en la versión WhatsApp Web o WhatsApp Desktop no. Un pequeño leak que te la puede jugar. No es de WhatsApp, pero podría hacerse algo para evitarlo.
- El cambio de móvil por las alertas de seguridad: Cuando cambias de terminal móvil, si tu contacto tiene las alertas de seguridad, siempre recibirá una alerta de seguridad que le avisará. Se supone que esta alerta debe ayudarte a evitar los ataques de "me he cambiado de número". Debería poder controlarse mejor ese tipo de alertas o informar de ellas al usuario cuando se emiten.
Estos casos anteriores, son dos ejemplos de "leaks" que no hay forma humana de controlar, pero luego existen otros que sí son controlables por el usuario, pero que en la configuración por defecto vienen de forma insegura, como por ejemplo que todos tus contactos pueden ver tu foto por defecto o ver la última hora de conexión.
A estas configuraciones por defecto, hay que sumar además, las configuraciones que NO deberían existir, como que "Everyone" pueda seleccionarse para ver tu foto de perfil, la información sobre ti, o cuando ha sido la última vez que has estado conectado. Seleccionar "Everybody" no tiene ningún valor positivo para un usuario, y si selecciona estas opciones, lo único que está haciendo es dar información a quién no debe. El único sitio donde puede tener algún sentido es en el uso de estas opciones para los canales de WhatsApp de empresas y compañías, pero para el usuario, no deberían existir nunca.
Figura 6: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros. |
- Averiguar la ubicación de una persona por los estados de WhatsApp: Se trata de averiguar desde qué dirección IP - y su geolocalización aproximada - se conecta un contacto tuyo que pulsa en un enlace los Estados de WhatsApp. Se aprovecha de que WhatsApp da la hora exacta a la que un contacto ha visto un estado tuyo. Con que WhatsApp elimine el Time-Stamp del contacto que ha visto el Status como hace con las Stories de Instagram, habrá evitado este "leak".
Esperemos que WhatsApp vaya mejorando poco a poco la privacidad y eliminando los "leaks" que vayan apareciendo. Para termina, os dejo la charla tal y como la di en OpenExpo Europe, donde hablé de todo esto - un poco más rápido y con un poco menos de detalle - pero en la que vas a poder ver todos los conceptos hilados por mí de una forma más cómoda y rápida.
La charla era solo de 30 minutos, pero espero que os guste u os inspire para hacer alguna cosa curiosa con vuestras herramientas o investigaciones.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Si definitivamente Whatsapp debería de poner toda su configuración en el formato de "alta seguridad y privacidad" y dar todas las opciones para que si el usuario quiere cambiar estas configuraciones, y no al revés como actualmente está por defecto.
ResponderEliminar