domingo, noviembre 24, 2013

Cómo saber dónde está alguien por un chat de WhatsApp

No conocía esta característica, pero parece bastante peligroso que una persona pueda saber por qué dirección IP otra persona está conectándose a WhatsApp. Viendo el interés que el mundo tiene en la seguridad de WhatsApp y su privacidad tanto en cómo espiar WhatsApp, esta es una característica peligrosa que atenta contra la privacidad de las personas, así que lo mejor es que la deshabilites.

El estudio de este fallo lo publicaron Luis Delgado y Ferran Pichel en Security By Default, no solo para aprovechar esta característica con el fin de localizar la dirección IP de una persona, sino como fallo de seguridad que provocaba una Denegación de Servicio en la app, además de poder generar un consumo no controlado de recursos.

El problema de se seguridad radica en que por defecto en las nuevas versiones de WhtasApp para Android - en iPhone aún no se ha introducido esa característica -, la aplicación muestra una imagen de previsualización de cualquier URL que ha sido enviada como mensaje de chat en WhatsApp.

Figura 1: Mensaje de WhatsApp con URL que muestra previsualización de imágenes

La funcionalidad de mostrar una previsualización en miniatura de una imagen de la dirección web compartida es muy común en cualquier red social en la que se permite hacer una publicación de URLs, como por ejemplo Facebook o Google+, y por eso deben haberla introducida. El detalle sin embargo es sutil, y cambia por completo el escenario, ya que en Facebook o Google+ la imagen es descargada desde la red social cuando es visualizada por un cliente, pero al hacer que esto sea por defecto en un cliente móvil los riesgos de seguridad son equivalentes a cuando se permite descargar una imagen remota por defecto en un correo electrónico - algo que por ejemplo Mail para iOS hacía mal y corrigió por motivos de seguridad y privacidad -.

Figura 2: Página PHP en servidor web con img a servidor web que controla los accesos a la imagen

Enviando por mensaje una URL de un sitio web que tenga una imagen que sea incluida desde un servidor web controlado, fuerza al cliente de WhatsApp para Android a hacer una petición al servidor web para descargarse la imagen. En esa petición se puede ver la dirección IP desde la que el cliente de WhatsApp para Android, es decir, el móvil de la persona que está detrás de un número de teléfono, se está conectando.

La ubicación geográfica de las direcciones IP no funciona extremadamente bien y puede que salgan cosas dispares a veces, pero puede suponer un riesgo para la privacidad de una persona en muchos casos en los que sí que se puede geo-posicionar más o menos correctamente dicha dirección IP.

Figura 3: El servidor web registra la dirección IP desde donde se está conectando el cliente de WhatsApp

Además de eso, en la petición va también el USER-AGENT de la petición, donde se dan muchos detalles del software que está corriendo tras un determinado número de teléfono, que en un esquema de ataque dirigido puede ser importante, sobre todo hoy en día que se conocen bugs para los terminales Android no actualizados. No hay que olvidar que los usuarios de terminales con Android, debido a la dispersión de hardware, son los que menos actualizados tienen el sistema operativo, así que son los más expuestos a exploits conocidos.

Figura 4: Distribución de versiones de Android ofrecidas por Google

Como curiosidad extra, si además se quiere, esta utilidad podría utilizarse para realizar ataques desde Internet a los servidores de una red interna, enviando una URL con una imagen que apunte a http://ServidorInterno/app.asp?1; shutdown -- de forma similar a como contaba yo que por culpa de las opciones de carga de imagen en Mail para iOS el jefe se podría cargar la base de datos.

Si tienes WhatsApp para Android lo mejor es que desactives esta opción, que aporta más bien poco para tu seguridad y privacidad. Además, como precaución general procura no seguir enlaces que recibas por mensajes de WhatsApp, ya que aunque no se haga la carga automática de las imágenes, si haces clic en un enlace que recibes por WhatsApp y te lleva a un servidor web controlado, vas a hacer pública tu dirección IP, y sucederá lo mismo.

Figura 5: Ajustes de carga de imágenes en URLs en WhatsApp para Android

Como última recomendación, si quieres evitar problemas de privacidad extras, recuerda que en WhatsApp puedes quitar cosas como informar si estás online, la última vez que te conectaste, etcétera. Es decir, puedes poner un poco más de privacidad a su uso.

Saludos Malignos!

48 comentarios:

  1. Yo tengo quitada esa opción. Pero se siguen previsuslizando las imágenes, aunque borrosas

    ResponderEliminar
  2. No creo que conocer la IP de una conexión móvil sea un riesgo. La mayoría de operadores usa un proxy y una IP de salida es compartida por muchos clientes. Es muy difícil geolocalizar. Otra cosa es saber la versión de OS de forma dinámica para mandar una imagen preparada para hacer un ataque.

    ResponderEliminar
    Respuestas
    1. Pero hay que tener cuidado con las redes domésticas y públicas. Porque a estas alturas de crisis, es puñetera. Y hace que esa información se revele. Sea por una tarifa de datos bajas. De 800 mb o 1Gb. Si alguien quiere pagar 30€ al mes. Tendrá que ser alguien de oro puro hasta las venas.

      Eliminar
  3. ¿Y si usan WiFi, señor anónimo?

    ResponderEliminar
  4. romansad: como bien dijo anónimo2 si usas wifi fuisteeeeeeee pero en mi caso como bien dice el articulo fibertel no revela mi ubicacion exacta

    http://whatismyipaddress.com/es/mi-ip

    ResponderEliminar
  5. ¿Y por qué sabiendo todo lo relacionado con el guaaaasap ningún medio de comunicación pone el grito en el cielo? Y nadie quiere darse por enterado... Sencillamente no lo entiendo!

    ResponderEliminar
    Respuestas
    1. Meditalo con calma y reflexiona profundamente. Lo acabarás entendiendo sin duda. Suerte!

      Eliminar
  6. Y yo cuando les digo a mis amigos que no uso whatsapp porque digo que programan con el culo me miran raro... Gran post, Chema.

    ResponderEliminar
    Respuestas
    1. Normal que te miren raro. Si tú hubieras programado/creado algo útil y valioso que demostrara tus espectaculares e impresionantes dotes de programación te mirarian con mejor cara seguro. Piénsatelo, reflexionaaaaaaaa jajaj

      Eliminar
  7. Buenas,
    En mi caso, aparte de usar WhatsApp Messenger solo mediante Wifi, tengo instalado el Hotspot Shield VPN, en su version free para Android en un HTC Desire X (S0;4.1.1).

    Mi pregunta es;
    Con todas estas medidas de seguridad establecidas y sin desactivar la descarga autom.de multimedia.
    Sigo siendo vulnerable ha este tipo de ataques?

    Salu2! y Feliz Navidul...XD!

    ResponderEliminar
    Respuestas
    1. ...usar WhatsApp Messenger solo x wifi???? Que crack!!
      Siempre seguiras siendo vulnerable. Asi va la cosa...

      Eliminar
  8. MUY URGENTE
    Buenas noches
    Ayer estuve con un amigo y nos despedimos a las 00.30 y no sabemos nada de al desde entonces, es una persona seria tiene familia y proyectos no le notamos nada raro, creemos que le a sucedido algo malo, hemos ido a la policia y hospitales, estamos desesperados
    querría saber si hay alguna manera
    de localizar el movil.
    EStamos muy asustados

    Si teneis una solucion podemos hablar por telefono, pues no soy un esperto en informatica

    ResponderEliminar
  9. esta laramente visto que se usa unared intermediaria para saber la ip con unasimple imagen perosite metesen una pagina web y pones esa ip eres capaz de controlarel trafico de datos a la vezdel celular y eso solo con una simple imagen mandada por whatsapp. Rogamos a whatsapp entertaiment para que sea mas segura esa aplicacion que todo el mundo conoce y que puede ser mortal para nuestro propio trafico de datos y nuestro celular

    ResponderEliminar
    Respuestas
    1. Capaz de controlar el celular solo con la ip?
      Callate anda y aprende a escribir(y a leer tambien...)

      Eliminar
  10. me robaron el cel y estan usando mi whatsapp como lo puedo localizar? info al 04246004240 gracias

    ResponderEliminar
  11. yo hago esto hace años con facebook y msn y eso que soy novato.

    me parece un post muy pobre

    ResponderEliminar
    Respuestas
    1. Pobre?? 😂😂
      Para pobre tu comentario.
      Bueno y tus post claro, que seguro no tienes ninguno!!! Jajaja joder con la people esta

      Eliminar
  12. @anónimo eso se hace hace años, pero que por la la previsualizacuon se hiciera en Whatsapp fue solo de esta versión de Whatsapp. De hecho lo quitarón. Aprende a leer y sé educado antes de criticar.

    Saludos!

    ResponderEliminar
    Respuestas
    1. Dejale....😂😂
      Seguramente estara trabajando en un blog de calidad o algo asi...

      Eliminar
  13. no os preocupéis, según mi geolocalización vivo en ceuta,y vivo realmente en España -.-

    ResponderEliminar
  14. Grande Deepak, siempre se aprende con vosotros ^^^

    pero mira que llegáis a ser malignos eh???

    Gracias :)

    ResponderEliminar
  15. hola!! quisiera saber como se hace para localizar un mje. de whatsapp en un lugar geografico..?? tengo su num. el q utilizo para enviarme mjes.. pero las empresa de telefonia no me quiere informar desde donde es la zona al menos donde estuvo enviandome mjes. desagradables..

    ResponderEliminar
  16. Dado el "nateo" radical y excesivo que se hace de las direcciones IP de las conexiones móviles, la probabilidad de identificar a un usuario móvil por la IP de conexión de una aplicación es muy remota.

    ResponderEliminar
  17. Lo intui desde que lei la primera linea, mucha chachara informatica , muchos esquemas , pero este vende algo, efectivamente , si quieres seguridad , compra el tal y tal..Y si te estan acosando , sin un argumento donde poder intervenir la policia..claro que esta mal saber la intimidad de una persona...pero...Maria , no estes tan contenta , esplica los programas que cualquiera puede descargar y utilizarlo para saber la red wify y exz..anda majete. ppon la manta y vende CDs

    ResponderEliminar
  18. shodown pichita ceuta es España juancojones. Supongo que querias decir que tu estás en la península no?

    ResponderEliminar
  19. Ver el ip por medio de un mensaje d whatsapp es imposible, ya que la unica opcion que tienes es la de ignorarla o abrir el enlace.... la unica forms para hackear un android es que ustedes mismos fabriquen un spyware.... los spyware puedes fabricarlos o bajarlos de la web...

    ResponderEliminar
    Respuestas
    1. Otro que no sabe leer( ...o entender lo que lee)

      Eliminar
  20. tanto rollo para sacar la ip?¿? para eso le mandas esto http://iplogger.org/1xKi4.jpg

    pffff tan dificil no es xD!!!

    ResponderEliminar
    Respuestas
    1. Hola tengo un problema familiar.. me amenazan a mi familia por what sap..bloqueamos y compran otro chip y ha,en lo mismo..sospecho de u os familiares.puedo comparar los ip delos mensajes...? Necesito ayuda

      Eliminar
  21. Joder como se aburre la gente tengo 1000 cosas mas interesantes que hacer que dedicarme a investigar localizaciones de clientes de whatsap, de verdad q mira que hay raritos......

    ResponderEliminar
    Respuestas
    1. Si la gente bufff un monton. Tu no... no te interesa el tema pero has perdido tiempo en leerlo y encima en poner un comentario. Digo yo que en ese tiempo podrias haber hecho alguna cosita de esas mil que te quedan... 😂😂😂 que jabato!!!💪💪

      Eliminar
  22. Nacho, pues conozco de gente rarita, que es capaz a pagar por saber donde cojones esta su mujer o marido o hijo o su mala madre.. Sabes? Y ya ni te digo la facilidad que tienen los hackers expertos, o simplemente la policia informatica... Ellos si que saben

    ResponderEliminar
  23. Nacho, pues conozco de gente rarita, que es capaz a pagar por saber donde cojones esta su mujer o marido o hijo o su mala madre.. Sabes? Y ya ni te digo la facilidad que tienen los hackers expertos, o simplemente la policia informatica... Ellos si que saben

    ResponderEliminar
  24. Telefono es de miyga que sefue consunovio inosenada de eyos

    ResponderEliminar
  25. Hola, yo acabo de probar la etiqueta 'meta property="og:image"...' peo no envía la foto al compartir la URL.

    He probado con diferentes dimensiones de imagen y tampoco.

    ResponderEliminar
  26. Pero señor anonimo si se puede localizar pot whatsap?

    ResponderEliminar
  27. HOLA UN AMIGO DESAPARECIO HACE UN DIA NO SABEMOS NADA ME PODRIA AYUDAR A LOCALIZARLO TOTAL DISCRECION ES UNA ANGUSTIA MUY FUERTE

    ResponderEliminar
  28. Urge saver la ubicación acab no lo encontramos.

    ResponderEliminar
  29. Este fallo lo tuvo Tuenti en el 2009 por lo menos y lo arreglaron al poco. Ponias un enlace a una url externa, que en tu perfil salía como una foto, y podias saber las ips de todos lo que visitaban tu perfil.

    Muy mal no entiendo estos fallos tan elementales en la app mas usada del mundo.

    ResponderEliminar
  30. Muy interesante Chema, fallos como estos parecen muy simples, pero en las manos de la persona adecuada son muy peligrosos.

    ResponderEliminar
  31. Y di envío un msj con imagen al que me robó en celu y este lo abre, COMO SE LA IP? donde me aparece????

    ResponderEliminar
  32. Si no comparti mas que una llamadas y unos mensajes por whatsapp y no me enviaron ningun link ni foto ni nada pueden solo asi localizar mi ubicacion?

    ResponderEliminar
  33. Quiero saber como le hago para saber donde esta una persona que se desaparecio y no sabemos donde esta? Porfa cualquier información de algún programa para localizarla

    ResponderEliminar
  34. necesito saber la huvicacion de una persona alguie con solo textear por whassapp con esa persona no tengo acceso al celular de la persona si alguien sabe un método me avise porfavor me urge

    ResponderEliminar
  35. Si mando una foto de mi celular por whatsapp al que le envió puede saber mi lo? Así de fácil?

    ResponderEliminar