domingo, noviembre 24, 2013

Cómo saber dónde está alguien por un chat de WhatsApp

No conocía esta característica, pero parece bastante peligroso que una persona pueda saber por qué dirección IP otra persona está conectándose a WhatsApp. Viendo el interés que el mundo tiene en la seguridad de WhatsApp y su privacidad tanto en cómo espiar WhatsApp, esta es una característica peligrosa que atenta contra la privacidad de las personas, así que lo mejor es que la deshabilites.

El estudio de este fallo lo publicaron Luis Delgado y Ferran Pichel en Security By Default, no solo para aprovechar esta característica con el fin de localizar la dirección IP de una persona, sino como fallo de seguridad que provocaba una Denegación de Servicio en la app, además de poder generar un consumo no controlado de recursos.

El problema de se seguridad radica en que por defecto en las nuevas versiones de WhtasApp para Android - en iPhone aún no se ha introducido esa característica -, la aplicación muestra una imagen de previsualización de cualquier URL que ha sido enviada como mensaje de chat en WhatsApp.

Figura 1: Mensaje de WhatsApp con URL que muestra previsualización de imágenes

La funcionalidad de mostrar una previsualización en miniatura de una imagen de la dirección web compartida es muy común en cualquier red social en la que se permite hacer una publicación de URLs, como por ejemplo Facebook o Google+, y por eso deben haberla introducida. El detalle sin embargo es sutil, y cambia por completo el escenario, ya que en Facebook o Google+ la imagen es descargada desde la red social cuando es visualizada por un cliente, pero al hacer que esto sea por defecto en un cliente móvil los riesgos de seguridad son equivalentes a cuando se permite descargar una imagen remota por defecto en un correo electrónico - algo que por ejemplo Mail para iOS hacía mal y corrigió por motivos de seguridad y privacidad -.

Figura 2: Página PHP en servidor web con img a servidor web que controla los accesos a la imagen

Enviando por mensaje una URL de un sitio web que tenga una imagen que sea incluida desde un servidor web controlado, fuerza al cliente de WhatsApp para Android a hacer una petición al servidor web para descargarse la imagen. En esa petición se puede ver la dirección IP desde la que el cliente de WhatsApp para Android, es decir, el móvil de la persona que está detrás de un número de teléfono, se está conectando.

La ubicación geográfica de las direcciones IP no funciona extremadamente bien y puede que salgan cosas dispares a veces, pero puede suponer un riesgo para la privacidad de una persona en muchos casos en los que sí que se puede geo-posicionar más o menos correctamente dicha dirección IP.

Figura 3: El servidor web registra la dirección IP desde donde se está conectando el cliente de WhatsApp

Además de eso, en la petición va también el USER-AGENT de la petición, donde se dan muchos detalles del software que está corriendo tras un determinado número de teléfono, que en un esquema de ataque dirigido puede ser importante, sobre todo hoy en día que se conocen bugs para los terminales Android no actualizados. No hay que olvidar que los usuarios de terminales con Android, debido a la dispersión de hardware, son los que menos actualizados tienen el sistema operativo, así que son los más expuestos a exploits conocidos.

Figura 4: Distribución de versiones de Android ofrecidas por Google

Como curiosidad extra, si además se quiere, esta utilidad podría utilizarse para realizar ataques desde Internet a los servidores de una red interna, enviando una URL con una imagen que apunte a http://ServidorInterno/app.asp?1; shutdown -- de forma similar a como contaba yo que por culpa de las opciones de carga de imagen en Mail para iOS el jefe se podría cargar la base de datos.

Si tienes WhatsApp para Android lo mejor es que desactives esta opción, que aporta más bien poco para tu seguridad y privacidad. Además, como precaución general procura no seguir enlaces que recibas por mensajes de WhatsApp, ya que aunque no se haga la carga automática de las imágenes, si haces clic en un enlace que recibes por WhatsApp y te lleva a un servidor web controlado, vas a hacer pública tu dirección IP, y sucederá lo mismo.

Figura 5: Ajustes de carga de imágenes en URLs en WhatsApp para Android

Como última recomendación, si quieres evitar problemas de privacidad extras, recuerda que en WhatsApp puedes quitar cosas como informar si estás online, la última vez que te conectaste, etcétera. Es decir, puedes poner un poco más de privacidad a su uso.

Saludos Malignos!

33 comentarios:

María García dijo...

Yo tengo quitada esa opción. Pero se siguen previsuslizando las imágenes, aunque borrosas

Anónimo dijo...

No creo que conocer la IP de una conexión móvil sea un riesgo. La mayoría de operadores usa un proxy y una IP de salida es compartida por muchos clientes. Es muy difícil geolocalizar. Otra cosa es saber la versión de OS de forma dinámica para mandar una imagen preparada para hacer un ataque.

Anónimo dijo...

¿Y si usan WiFi, señor anónimo?

Unknown dijo...

romansad: como bien dijo anónimo2 si usas wifi fuisteeeeeeee pero en mi caso como bien dice el articulo fibertel no revela mi ubicacion exacta

http://whatismyipaddress.com/es/mi-ip

Anónimo dijo...

¿Y por qué sabiendo todo lo relacionado con el guaaaasap ningún medio de comunicación pone el grito en el cielo? Y nadie quiere darse por enterado... Sencillamente no lo entiendo!

Abel dijo...

Y yo cuando les digo a mis amigos que no uso whatsapp porque digo que programan con el culo me miran raro... Gran post, Chema.

Cherokee Hack dijo...

Buenas,
En mi caso, aparte de usar WhatsApp Messenger solo mediante Wifi, tengo instalado el Hotspot Shield VPN, en su version free para Android en un HTC Desire X (S0;4.1.1).

Mi pregunta es;
Con todas estas medidas de seguridad establecidas y sin desactivar la descarga autom.de multimedia.
Sigo siendo vulnerable ha este tipo de ataques?

Salu2! y Feliz Navidul...XD!

Jose Antonio de las Heras dijo...

MUY URGENTE
Buenas noches
Ayer estuve con un amigo y nos despedimos a las 00.30 y no sabemos nada de al desde entonces, es una persona seria tiene familia y proyectos no le notamos nada raro, creemos que le a sucedido algo malo, hemos ido a la policia y hospitales, estamos desesperados
querría saber si hay alguna manera
de localizar el movil.
EStamos muy asustados

Si teneis una solucion podemos hablar por telefono, pues no soy un esperto en informatica

Aricop Aricop dijo...

me robaron el celu

Anónimo dijo...

esta laramente visto que se usa unared intermediaria para saber la ip con unasimple imagen perosite metesen una pagina web y pones esa ip eres capaz de controlarel trafico de datos a la vezdel celular y eso solo con una simple imagen mandada por whatsapp. Rogamos a whatsapp entertaiment para que sea mas segura esa aplicacion que todo el mundo conoce y que puede ser mortal para nuestro propio trafico de datos y nuestro celular

Anónimo dijo...

me robaron el cel y estan usando mi whatsapp como lo puedo localizar? info al 04246004240 gracias

Anónimo dijo...

yo hago esto hace años con facebook y msn y eso que soy novato.

me parece un post muy pobre

Maligno dijo...

@anónimo eso se hace hace años, pero que por la la previsualizacuon se hiciera en Whatsapp fue solo de esta versión de Whatsapp. De hecho lo quitarón. Aprende a leer y sé educado antes de criticar.

Saludos!

shadow dijo...

no os preocupéis, según mi geolocalización vivo en ceuta,y vivo realmente en España -.-

Anónimo dijo...

Grande Deepak, siempre se aprende con vosotros ^^^

pero mira que llegáis a ser malignos eh???

Gracias :)

PEDRO MANNINO dijo...

hola!! quisiera saber como se hace para localizar un mje. de whatsapp en un lugar geografico..?? tengo su num. el q utilizo para enviarme mjes.. pero las empresa de telefonia no me quiere informar desde donde es la zona al menos donde estuvo enviandome mjes. desagradables..

Anónimo dijo...

Dado el "nateo" radical y excesivo que se hace de las direcciones IP de las conexiones móviles, la probabilidad de identificar a un usuario móvil por la IP de conexión de una aplicación es muy remota.

Anónimo dijo...

Lo intui desde que lei la primera linea, mucha chachara informatica , muchos esquemas , pero este vende algo, efectivamente , si quieres seguridad , compra el tal y tal..Y si te estan acosando , sin un argumento donde poder intervenir la policia..claro que esta mal saber la intimidad de una persona...pero...Maria , no estes tan contenta , esplica los programas que cualquiera puede descargar y utilizarlo para saber la red wify y exz..anda majete. ppon la manta y vende CDs

Anónimo dijo...

shodown pichita ceuta es España juancojones. Supongo que querias decir que tu estás en la península no?

kevin kadir dijo...

Ver el ip por medio de un mensaje d whatsapp es imposible, ya que la unica opcion que tienes es la de ignorarla o abrir el enlace.... la unica forms para hackear un android es que ustedes mismos fabriquen un spyware.... los spyware puedes fabricarlos o bajarlos de la web...

Destroyer dijo...

tanto rollo para sacar la ip?¿? para eso le mandas esto http://iplogger.org/1xKi4.jpg

pffff tan dificil no es xD!!!

Nacho dijo...

Joder como se aburre la gente tengo 1000 cosas mas interesantes que hacer que dedicarme a investigar localizaciones de clientes de whatsap, de verdad q mira que hay raritos......

Cristian Gonzalez Lopez dijo...

Nacho, pues conozco de gente rarita, que es capaz a pagar por saber donde cojones esta su mujer o marido o hijo o su mala madre.. Sabes? Y ya ni te digo la facilidad que tienen los hackers expertos, o simplemente la policia informatica... Ellos si que saben

Cristian Gonzalez Lopez dijo...

Nacho, pues conozco de gente rarita, que es capaz a pagar por saber donde cojones esta su mujer o marido o hijo o su mala madre.. Sabes? Y ya ni te digo la facilidad que tienen los hackers expertos, o simplemente la policia informatica... Ellos si que saben

Unknown dijo...

Telefono es de miyga que sefue consunovio inosenada de eyos

Anónimo dijo...

Hola, yo acabo de probar la etiqueta 'meta property="og:image"...' peo no envía la foto al compartir la URL.

He probado con diferentes dimensiones de imagen y tampoco.

Anónimo dijo...

Pero señor anonimo si se puede localizar pot whatsap?

edu m criado fernandez dijo...

Pero hay que tener cuidado con las redes domésticas y públicas. Porque a estas alturas de crisis, es puñetera. Y hace que esa información se revele. Sea por una tarifa de datos bajas. De 800 mb o 1Gb. Si alguien quiere pagar 30€ al mes. Tendrá que ser alguien de oro puro hasta las venas.

Anónimo dijo...

HOLA UN AMIGO DESAPARECIO HACE UN DIA NO SABEMOS NADA ME PODRIA AYUDAR A LOCALIZARLO TOTAL DISCRECION ES UNA ANGUSTIA MUY FUERTE

Anónimo dijo...

Hola tengo un problema familiar.. me amenazan a mi familia por what sap..bloqueamos y compran otro chip y ha,en lo mismo..sospecho de u os familiares.puedo comparar los ip delos mensajes...? Necesito ayuda

Anónimo dijo...

Urge saver la ubicación acab no lo encontramos.

ISM P dijo...

Este fallo lo tuvo Tuenti en el 2009 por lo menos y lo arreglaron al poco. Ponias un enlace a una url externa, que en tu perfil salía como una foto, y podias saber las ips de todos lo que visitaban tu perfil.

Muy mal no entiendo estos fallos tan elementales en la app mas usada del mundo.

dark dijo...

Muy interesante Chema, fallos como estos parecen muy simples, pero en las manos de la persona adecuada son muy peligrosos.

Entrada destacada

Joinnovation & KeepCoding Connect: 2 Eventos para DOERS en #Madrid

Ayer fue el día de ver los proyectos de EQUINOX , el hackathon de ElevenPaths donde durante 24 horas se lanzan proyectos que normalmente ...

Entradas populares