Una opción en Telegram que arregla el "Desbloquéame" de WhatsApp

Durante el mes de Julio publiqué en un post el trabajo que hicimos con WhatsApp, explicando que era posible automatizar la creación de de grupos de WhatsApp por medio de una aplicación web que permitiera a una persona "desbloquearse" de la lista negra de otro contacto de WhatsApp. 

Figura 1: Una opción de Telegram que arregla el "Desbloquéame" de WhatsApp

La idea era probar que una pequeña característica de seguridad - conocida por muchos - podría ser explotada de una manera automatizada, pero por supuesto no publicamos el servicio ni el código del mismo.

Figura 2: PoC de Desbloquéame WhatsApp

Esa debilidad que WhatsApp tiene se puede arreglar de una manera muy sencilla, si la aplicación tuviera una opción de configuración tan útil como la que tiene Telegram para restringir quién te puede añadir a un grupo. Mientras que en WhatsApp cualquiera - le tengas en contactos o no - puede agregarte a un grupo, en Telegram los usuarios pueden restringir esta opción solo a sus contactos de la agenda.

Figura 3: Opción de Telegram que permite restringir quién puede agregarte a un grupo

Con un control tan sencillo como este, el problema explicado en "Desbloquéame" de WhatsApp se solucionaría, así que esperamos que en próximas actualizaciones acabe apareciendo, para dotar al servicio de un poco más de control por parte de los usuarios.

Saludos Malignos!

Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs. Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF?

Son muchos los blogs que han recibido los correos electrónicos de Google indicando que su blog tiene páginas que van a ser marcadas como inseguras. Remarco esto de "páginas" y no el sitio completo, pues en los correos electrónicos que Google está enviando a los dueños de sitios web en Blogger especifica exactamente qué páginas en concreto son las que van a ser marcadas como inseguras.

Figura 1: Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs.
Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF?

La lista de páginas son aquellas que tengan campos de introducción de datos, es decir, los INPUT tipo TEXT o tipo e-mail, como explican en el ejemplo que acompaña al mensaje de advertencia que se envía. Si te pasa esto en la página principal, entonces será todo el sitio.

Figura 2: Mensaje de advertencia para SeguridadApple.com

Como se puede imaginar uno, la solución es bastante sencilla. La opción 1 es quitar esos campos de entrada de datos, pero claro, eso llevaría a una pérdida de funcionalidad de algunos sitios. Además, tal y como está redactado el texto - al menos en Español - deja claro que es en la web en la que soliciten los datos (no importa si estos campos van en un FORM que tira en el ACTION contra un Backend HTTPs). Si la página muestra los campos de entrada de datos bajo HTTP, entonces saldrá la alerta.

Figura 3: Páginas que serán marcadas como inseguras

Esto tiene todo el sentido del mundo, porque el riesgo es que un campo mostrado bajo HTTP es susceptible a multitud de ataques, incluidos los famosos SSLStrip que presentó hace ya muchos años Moxie Marlinspike. Y en la charla de Owning Bad Guys {and mafia} with JavaScript Botnets, usamos el hooking de FORMs en conexiones HTTP para robar credenciales y datos de formularios. Puedes ver la demo aquí.

Figura 4: Owning bad guys {and mafia} with JavaScript Botnets

Esto nos lleva a la Opción 2, que es poner todo el sitio bajo HTTPs. Esto no es "Rocket Science", y basta con pedir un certificado con el nombre del dominio y aplicarlo para que el listener del sitio web escuche solo por peticiones HTTPs o, al menos, por las dos.

Figura 5: Si tienes un dominio personalizado, te "frunges"

Pero como ya se han quejado otros bloggers, esto no es posible de configurar en Blogger si tienes un dominio personalizado, como por ejemplo, www.elladodelmal.com, así que a partir de la versión de Google Chrome 62 puede ser que pasen cosas raras en muchos blogs.

Dicho esto, me parece una buena iniciativa marcar las páginas inseguras como inseguras, pero Google, ¿no podéis arreglar esto de una forma lógica y coordinada para que los usuarios de Blogger puedan hacerlo bien?

Saludos Malignos!