domingo, septiembre 29, 2013

Problemas de privacidad de WhatsApp con Google y Bing

La verdad es que de entre todas las formas posibles de espiar WhatsApp, estos problemas de indexación de WhtasApp en los buscadores Google y Bing son una gota de agua en un océano, pero aún así sirven para ilustrar cómo las fugas de información con datos de tu vida personal pueden estar en cualquier rincón inesperado.

Aprovechando que había estado mirando los problemas de indexación de Facebook en Google y Bing, quise comprobar cuántos otras empresas grandes estaban teniendo situaciones de confusión similares. Como ya expliqué en aquel artículo, el que haya que usar etiquetas X-Robots-tag en los servidores web, etiquetas Meta en las págginas HTML, los ficheros robots.txt y una cuenta de cada uno de los buscadores para pedir que elimine los documentos que se han indexado por error, me parece lo suficientemente confuso como para que muchas empresas tengan problemas con ello. Y lo he querido probar con WhtasApp.

Figura 1: El fichero robots.txt de WhatsApp.com

Como se puede ver, en el fichero robots.txt de WhatsApp no hay mucho que rascar, pero aparecen dos URLs prohibidas lo suficientemente jugosas como para darle un vistazo a las URLs que se hayan quedado indexadas en los buscadores de alguna forma.

Figura 2: El patch indexado en Google

De la URL de Android/Third_party no hay más que un patch con no demasiada información en él, pero ahí está, indexado en Google. De la siguiente URL sí que hay más jugo. Si buscamos por URLs con la ruta payments aparecen bastantes de ellas, y como se puede ver, muchas tienen el parámetro phone con el número de teléfono de la persona que acaba de comprar la app.

Figura 3: Rutas de payments con números de teléfono

Si miramos el código fuente de cksum_pay vemos que no hay ninguna meta para evitar el cacheo de las páginas ni la indexación de las URLs, por lo que todos estos datos, cuando Google o Bing los indexan, quedan guardados en la base de datos.

Figura 4: Datos de campos hidden de cksum_pay.php

Si revisamos el resto de URLs que aparecen dentro de la ruta payments del servidor web de WhatsApp, vemos que hay alguna de compra de una extensión del servicio, en la que se puede acceder también al número de teléfono de la persona que ha hecho la compra de dicho servicio.

Figura 5: Datos de una compra de extensión de servicio

Por supuesto, como el mensaje de saludo y la fotografía son datos públicos en los servidores de WhatsApp, y sabiendo que este número ya tenía Whatsapp de antes, he hecho como con los teléfonos de las páginas de contactos adultos, y he ido a buscar a la persona que tenía su número indexado. Y ahí está.

Figura 6: Perfil Whatsapp de la persona indexada en Google

En definitiva, creo que toda esta arquitectura de robots, metas y demás parches para controlar lo que se debe indexar o no en los buscadores de los sitios es un poco lioso y puede generar problemas a muchas grandes empresas que no hayan tenido en cuenta eso, que esa URL que envias a tus clientes puede ser tu perdición. En este caso son pequeños detalles de la privacidad de los usuairos de WhtasApp, pero viendo el interés que tiene todo el mundo en la seguridad de Whatsapp, probablemente pueda ser aprovechado por alguien de alguna manera...

Saludos Malignos!

7 comentarios:

Anónimo dijo...

En la imagen del cksum_pay dejaste el telefono de la persona sin tapar en la primera linea del input

Ruth P. Gómez dijo...

A ver... Yo no entiendo mucho de programación, así que... en palabras sencillitas (para que hasta alguien como yo pueda entenderlo) ¿cuál es el riesgo real para el usuario final? ¿Pueden ver algo de nuestras conversaciones, o el número de la tarjeta con la que se ha pagado? Perdón por mi ignorancia...

Jose Luis Alcoba dijo...

Iba a comentar lo mismo, que se había pasado en las primeras líneas.

Alpc360 dijo...

Muy bueno Chema !

Anónimo dijo...

Joder que superhacker...todavía me tiemblan las piernas de la excitacion ... A lo mejor te ponen en el whatsapp awards...

Maligno dijo...

@anónimo, la primera frase del artículo dice:

"La verdad es que de entre todas las formas posibles de espiar WhatsApp, estos problemas de indexación de WhtasApp en los buscadores Google y Bing son una gota de agua en un océano,"

Pero no debes haber leído bien...

Saludos!

Francisco Sotelo dijo...

Para mi el más gracioso es el robots.txt de la SGAE...

Disallow:/?SGAE=LADRONES=MONOPOLIO
Disallow:/?ladrones
Disallow:/?mafiosos
...
..
. etc etc

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares