martes, junio 09, 2015

Robar cuentas de WhatsApp con Llamada de Verificación

La verdad es que de simple este método da hasta un poco de miedo. Es la forma más sencilla que he visto para que alguien de tu entorno te pueda robar la cuenta de WhtasApp con que te despistes unos segundos de tu terminal. Esta forma de espiar el WhatsApp consiste en registrar el número de teléfono de WhtasApp en cualquier otro terminal - incluso en una máquina virtual de Android, por ejemplo - y solicitar que la verificación se haga por medio de una llamada de teléfono que te de el código.

Figura 1: Cómo robar te pueden robar tu cuenta de WhtasApp con una llamada de verificacion

Esto es algo que permite WhtasApp desde el principio, y se usa cuando el sistema de envío de mensajes SMS no funciona bien o directamente se está instalando en un terminal que los tiene bloqueados - por ejemplo un emulador, una máquina virtual, etcétera -. El funcionamiento se describe en la ayuda. Recuerda que el tiempo de espera se tiene que esperar en el terminal dónde es quiere instalar la cuenta de robada.

Figura 2: Ayuda de WhatsApp que explica cómo usar llamada de verificación para activar la cuenta

Desde un terminal en manos del atacante con WhatsApp - por ejemplo una máquina virtual, un emulador u otro teléfono - se configura una cuenta con el número de teléfono de la víctima. Una vez que se selecciona la opción de Solicitar Llamada de Verificación, se recibirá una llamada en el terminal de la víctima. Esta llamada siempre se podrá atender siempre, ya que a día de hoy, ni iPhone ni Android tienen una opción de "desbloquear terminal para responder llamadas".

Figura 3: Cualquiera puede solicitar la activación por llamada de verificación

El atacante escuchará el código y lo configurará, obteniendo acceso a enviar y recibir los mensajes de WhatsApp de la víctima.  Cuando esta se de cuenta de que ha sido robada la cuenta, podrá solicitar volver a tenerla, pero solo después de que pase un periodo de 30 minutos de tiempo. Durante ese periodo el atacante será dueño de la cuenta.

Figura 4: Para volver a restaurarlo hay que esperar durante un tiempo

Este es un método similar al de robar la cuenta de WhatsApp utilizando Siri y la previsualización de códigos SMS, más fácil que robar la SIM o clonar las SIMs antiguas, y por su puesto mucho más peligroso, ya que todos los terminales pueden caer en este truco. No solo afectará a WhatsApp, sino a cualquier otra app que implemente de igual manera este método de recuperación de contraseña basado en llamada. Con este sistema, cualquier persona puede robarte la cuenta temporalmente y podría espiar el WhatsApp en ese espacio de tiempo, es decir, leer los mensajes que entren durante ese periodo, además de ver los grupos a los que pertenece una persona y enviar mensajes. En el siguiente vídeo tienes una Prueba de Concepto.


Figura 5: Prueba de Concepto de robo de cuenta con Llamada de Verificación 
por José Rodríguez (@vbarranquillo)

Robo de la cuenta vía buzón de voz

Esto es peor aún, si resulta que la víctima tiene un buzón de voz activado y no ha cambiado la contraseña por defecto, ya que accediendo al buzón de voz de podría acceder al código de activación de cuenta, tal y como explican en este artículo.

Este robo de cuenta es temporal, tal y como se ve en la Figura 4, pero si el atacante realiza este proceso muchas veces, es decir, si un atacante solicita desde otros terminales el proceso de recuperación de cuenta, puede ser que la víctima no tenga fácil recuperar la cuenta ya que WhatsApp va alargando los tiempos como protección. Como solución temporal, desde el sistema operativo se podrían bloquear las llamadas desde el número que usa WhatsApp para llamarte. Así nadie con el terminal bloqueado por passcode podría recoger estas llamadas.

Saludos Malignos!

30 comentarios:

David dijo...

Buenas Chema!

Yo tenia entendido que cuando registrabas tu teléfono en WhatsApp en otro dispositivo móvil, el primero, es decir donde estaba realizado el registro por primera vez, automáticamente se desconectaba. Y que si una vez desconectado volvías a intentar registrarte satisfactoriamente 'echarías' al otro dispositivo de tu cuenta de WhatsApp.

Si esto sigue ocurriendo asi, sigue siendo tan peligroso como dices?

Además las conversaciones no se descargan de ninguna manera en el otro dispositivo, entiendo yo...

Un saludo!

Anónimo dijo...

Hola! Está muy bien que informes de las vulnerabilidades que tienen estas aplicaciones, pero si existe alguna forma de evitarlo también estaría bien que la publicases. Si no, lo que haces con esto es contribuir a que cualquiera pueda robar cuentas de whatsapp sin tener mucha idea. Falta un tutorial paso a paso.

Jorge dijo...

Hola Chema,

venía a decir lo mismo que David, según tengo entendido Whatsapp sólo puede estar activo en un dispositivo, por tanto, la "víctima" se daría cuenta enseguida de que algo va mal, se volvería a registrar en Whatsapp y ya no podrías ver sus mensajes. ¿Verdad?

Luis D. dijo...

Hola Chema,

Coincido con David y Jorge, al contrario que otras muchos servicios que utilizan también verificación por llamada, WA notificaría al usuario del dispositivo al registrar su cuenta en otro, de tal forma que éste podría recuperar el control muy rápido. Además, tal y como ya han apuntado, una de las ventajas de que WA no almacene los mensajes en el servidor (al contrario que p.e Telegram), es que no descargarías un historial de conversaciones pasadas. Si bien es obvio que se produciría un leak de grupos a los que pertenece el usuario y de contactos si alguno le hablara en ese periodo de tiempo, creo que no es algo destacable... (el mayor problema aquí es el acceso FISICO al terminal durante ese slot de tiempo)

Creo que si en vez de ser un post centrado en WA hubiese sido general sobre la problemática de la verificación por llamada (y dando varios ejemplos), hubiese sido más acertado (aunque siga sin ser ninguna novedad, entiendo el carácter divulgativo del post).

Dicho esto, una posible solución en dispositivos Android sería que WA se registrara como gestor de las llamadas (dialer) y bloqueara las que provengan de sus teléfonos si el terminal está bloqueado, pero esto generaría un nuevo debate, y es porqué WA puede controlar todas tus llamadas... (además de que entiendo que sería complicado de mantener).

Ya hubo debate en su día por las previsualizaciones de los SMS en Android, y por eso a partir de la versión 3.0 (creo), se eliminó, pero el tema de llamadas es algo más complicado...

Un saludo,
Luis.

Gaspar Fernández dijo...

Está claro que no podemos separarnos de nuestro terminal. De todas formas, aunque ayer estuve viendo también esta forma de suplantación de Whatsapp por Twitter, no es ningún invento ni novedad. Es más, como si dijéramos que si descuidamos nuestro terminal nos pueden coger el teléfono, o pueden pedir un OTP y nos lo pueden leer sin desbloquear sólo con una notificación.

Hay todavía que desarrollar un método para que el teléfono sepa que lo está cogiendo el dueño (o una persona de total confianza... no sé, a vece mi pareja coge el terminal), pero vamos, es complicado; imagínate que te llaman y cuando coges el teléfono te tienes que parar a meter un PIN o algo así, seguro que para cuando acabes ya han colgado.

De todas formas, sin profundizar demasiado, me gusta más el método de Telegram, que puedes utilizar varios dispositivos y gestionarlos, expulsando si no te interesa uno de ellos (hombre, ya que ha suplantado... que no te toque andar re-auntentificándote y repitiendo el proceso porque sólo puedes tener un dispositivo, Hace tiempo una persona me preguntaba si era posible tener Whatsapp tanto en el móvil como en la tablet, y tampoco es una cosa descabellada.

Anónimo dijo...

Hola Chema,
Es posible realizarlo sin tener acceso al terminal ?
Te cuento: Después de recibir por linkedin una oferta de empleo el headhunter me pide el numero de teléfono para llamarme. Después de unos 15min de darle el numero recibo 2 llamadas de los números (+1) 386-279-4287 y (+1) 240-428-6621 con una locución en ingles dándome un código de verificación. acto seguido recibo un mensaje con un enlace de verificacion de whatsapp (v.whatsapp.com/xxxx)
Es posible que me haya convertido en una victima solo por eso ?
Hay alguna forma de des- registrar dispositivos del whatsapp ?

Un saludo

Julian J. M. dijo...

Casi es más efectivo activar el whatsapp web... Solo necesitas tener acceso al móvil lo justo para sacar una foto del código QR que tienes en tu móvil o tablet.

Anónimo dijo...

se configura una cuenta con el número de teléfono de la víctima

Robo del terminal, conocer su número... ¿Y por qué no le preguntas directamente el pin del teléfono?

Maligno dijo...

@Anónimo, ¿conocer el número? ¿tener acceso al teléfono? ¿Como los compañeros de trabajo o las parejas te refieres?

Saludos!

Javier Garay dijo...

Para poder obtener todo el historial de mensajes almacenado en el dispositivo, bastaría con activar web.whatsapp, y tomaría mucho menos tiempo que la verificación por llamada. Además que aún no existe una notificación de que una cuenta de whatsapp se está ejecutando en la versión web. Este ataque se puede evitar con un pin de desbloqueo del dispositivo. Pero siempre gracias Chema por tus consejos.

Luis dijo...

Hola Chema,

Tal y como te he comentado por Twitter, sería un detalle que indicaras en el post de forma clara qué contenido pertenece a la primera versión publicada y cuál a una versión actualizada (la actual o posteriores). De esta forma evitarías que algunos comentarios (incluídos el mío) queden descontextualizados ya que en un primer momento no contemplabas en el post los avisos, rate-limits, etc...

Igualmente, sigo opinando que este tema no se merece tanta repercusión y la falta de ciertos matices importantes le hace un flaco favor... (ahora con más motivo, que es portada de Menéame y el perfil del lector será mucho más plural, #fear)

Un saludo,
Luis.

Adama dijo...

Chema, aquí coincido con el anónimo. Tú lo has dicho, la novia o los compañeros de trabajo. Pon los amigos de paso, son personas de confianza normalmente, y si no te fias de ellos... Ten el móvil contigo. Y encima se puede recuperar.

Mucho peor es dejarse el correo abierto si lo miramos así.

Maligno dijo...

@Adama, te recomiendo el hashtag #buscamhackers en Twitter para que te repienses eso .,,}:)

Saludos!

Maligno dijo...

@Adama, te recomiendo el hashtag #buscamhackers en Twitter para que te repienses eso .,,}:)

Saludos!

kuroi hitsuji dijo...

Hola chema desde hace un tiempo estoy estudian esa facilidad que te brinda el WhatsApp de poder robar la cuenta, se me ocurrió tres elementos que se pueden emplear para que el ataque se mayor alcance como modificar el paquete que instalas para que no envié la autentican para evitar que la victima reciba un mensaje de alerta y podría ser que se puede tener escuchador de mensajes o incluso envió desde la misma cuenta desde dos dispositivos diferente un factor importante que hay que tomar encenta es que si al teléfono de la victima se por algun motivo se le pudiera desactivar tanto las conexiones 3G, 4GLT, como la inalámbrica serias el dueño de la cuenta hasta que la persona cambie de terminal. Todo esto claro es una teoría posible me hace falta realizar un prueba de concepto que cubra por completo todos lo elementos que te menciono.
Me encanta tu blog y espero con ansias leerlo cada días.
Saludos.

Inseguro y Navegando dijo...

Ya que nadie lo ha echo pues nada...
Gracias Chema ;-)

Salu2¡

Dodi A. dijo...

Creo que también se podrían recuperar los mensajes antiguos. Si teniendo el móvil de la víctima le puedes extraer la SD, creo que bastaría con copiar la carpeta de Whatsapp al terminal del atacante. Una vez metida la cuenta, Whatsapp te va a preguntar si quieres restaurar los mensajes de esa carpeta (mensajes de la víctima anteriores al robo de la cuenta).

Saludos

Anónimo dijo...

Yo por eso uso Telegram, protección nativa con contraseña, mensajes privados y auto destrucción de mensajes.

Javier dijo...

No puedo creer lo simple que es. Estamos regalados con Whatsapp. Telegram es la mejor opción por lo visto

Maligno dijo...

@Luis D, para que quede más claro he actualizado el post con la información sobre el buzón de voz, la referencia a que solo se puede acceder a la lista de grupos y al envío/recepción de mensajes durante ese tiempo. He puesto un vídeo de la PoC, he explicado que se puede hacer que el robo sea más durarero forzando más peticiones de recuperación que imposibiliten al verdadero usuario solicitarlas y he explicado que un workaround podría ser bloquear el número de llamada.

WhatsApp podría permitir al usuario desactivar desde la app de WhatsApp esa forma de recuperar el mensaje, es decir, vía "llamada de voz", una vez que hubiera autenticado la cuenta.

Saludos!

Anónimo dijo...

para mi pura kaka. cada vez que eo estas cosas, solo puedo decir que se muestran los pasos pero nunca elhecho en si.
que siga la boludez

Anónimo dijo...

Hola mi nombre es Eduardo! Como muchos saben Whatsapp Web no funciona desde un iphone, pero si usamos este metodo de la llamada y logramos pasar el whatsapp a un Android y nos vamos a un pc pasamos el fon por el codigo QR y listo aja tenemos el whatsapp del iphone en version web. Cuando recupere el whtspp el Iphone se cierra la cuenta? o el dueño del telefono jamas se dara cuenta pq no existe esta opcion??

Anónimo dijo...

poes¡¡ llo la rrobe pero creando un chip diferente y enviandole una cadena ala victima diciendole q whattsap le iba a regalar un año de whattsap gratis si enviaba en codigo q le ivan a dar en la llamada ¡¡ asi lo hice yo

Anónimo dijo...

Emmmm acaba de pasarme lo que has escrito. Osea, un numero de carolina del norte +1 864-438-5911 me ha llamado y, en español me ha dicho en modo bucle "Su código de verifiación es (numeros)" A continuación me ha llegado un sms del 34911061269 "WhatsApp code (números) You can also tap on this link to verify your phone: v.whatsapp.com/(numeros)"

¿De qué narices va eso?

Paquiao dijo...

Amigo, si haces un click en link del SMS estas dando la conformidad al que te robo la cuenta de whatsapp... y preparate para que insulten a tus grupos a tu nombre o bien te quedes sin pareja por las cosas que pueden escribir por vos... o tal vez alguna estafa o robo... Saludos y a cuidarse!

Anónimo dijo...

Ola a todos. Mira a mi me paso mi pareja me cojio el celular y me hizo eso sin yo darme cuenta. Me le puse Bravo pero como hago para que ella ya no pueda ver más mi whatsapp desde el celu de ella le agradezco si me colaboran. Muchas gracias

Juan Friki dijo...

A mí me acaban de intentar robar la cuenta hoy mismo. Debo decir que no vi llegar el mensaje de verificación de whatsapp pero sí que recibí hasta 6 llamadas de 2 números de teléfono americanos pero como soy un desconfiado no conteste y los bloquee. Después de eso vi el mensaje de whatsapp. Es posible averiguar quién ha intentado robármela?

Soledad Olave dijo...
Este comentario ha sido eliminado por el autor.
AnnM dijo...

Hola. A finales del año pasado no se como, pero llegaban mensajes supuestamente desde mi telefono (lo cual no era posible porque lo tenia sin servicio y ademas el telefono siempre estuvo en mis manos) a un numero cuya persona no conozco (pero que tenemos un amigo en comun), eso genero problemas, decidi cambiar el numero, no lo comparti con nadie que no fuera de confianza, sin embargo, pocos dias despues de agregarme a un grupo whatsapp comenzo el mismo problema, acoto que la persona a la que le llegan esos mensajes que supuestamente salen desde mi telefono celular no esta en ese grupo whatsapp, como se supone que hagan eso? solo una persona de ese grupo la tiene en sus contactos, y una vez le envie un sms en seguida le llega un mensaje (a la persona que no conozco) absurdo supuestamente desde mi numero. Parece un poco extraño y enredado pero me pasa

Edu dijo...
Este comentario ha sido eliminado por el autor.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares