sábado, abril 19, 2014

WhatsApp no cifra tu localización cuando muestra el mapa

La seguridad de WhatsApp no ha sido nunca de lo mejor desde que se lanzó, y por eso aparecieron muchas formas de espiar WhatsApp. En el caso del envío de los contenidos cifrados, debido a que no hacen uso de una implementación estándar de SSL, se conocen fallos que permiten descifrar las conversaciones de WhatsApp en muchos escenarios, pero también existen datos que no son cifrados, como el mensaje en el que se envía el número de teléfono del usuario que usa WhatsApp, y que puede ser descubierto con WhatsApp Discover.

Ahora, investigadores de la Universidad de New Haven han hecho una sencilla demostración que deja a las claras cómo las imágenes con los datos de localización no son cifrados cuando se compone la imagen que se muestra en el chat. En ese caso, la aplicación descarga la imagen desde los servidores de Google Maps sin utilizar cifrado, lo que permite a cualquiera que tenga acceso a la red podrá acceder a ese dato.

Figura 1: Envío de localización por WhatsApp

Para hacer la prueba, se ha conectado un terminal Android a una red WiFi montada en un equipo con Microsoft Windows al estilo de los Rogue AP, para dar conexión al terminal con WhatsApp. En él, se activa NetWork Minner, el programa que en escenarios de man in the middle, entre otras cosas, recompone las imágenes que se envían por la red.

Figura 2: Imagen con la localización interceptada por NetWork Miner

Y como puede verse, cuando se envía la localización, la imagen enviada queda visible, lo que se puede hacer única y exclusivamente porque la imagen se envía sin cifrar por la red, convirtiéndose en un nuevo leak de información. En el siguiente vídeo tenéis la demostración completa, por si quieres hacer la demo tú mismo.


Figura 3: Demostración con la captura de la localización en WhatsApp

Si quieres conectarte de forma segura a WhatsApp cuando te conectas a una red WiFi, lo mejor es que lo hagas a través de una conexión VPN, para evitar que cualquiera de estas fugas te afecte. Evita el uso de redes WiFi que no sean tuyas, y recuerda que en terminales Android se lanzó una versión de WhatsApp que podría dejar que alguien usando un enlace a un servidor malicioso averiguase tu dirección IP y dónde estás con las opciones de previsualización, así que asegúrate de que tienes una versión actualizada.

Saludos Malignos!

4 comentarios:

  1. Y yo me pregunto, que mas da? Si puedes capturar la posición, es por que estas al menos cerca de la víctima. Por tanto, ya sabes donde está.

    Diferente seria que puedas capturar la conversación u otra cosa.


    Cierto que es un leak de informacion, pero no es relevante ni interesante.

    ResponderEliminar
  2. Leak... mejor fuga de información.

    ResponderEliminar
  3. Muchas Gracias por el consejo¡
    Salu2¡

    ResponderEliminar
  4. Iba a decir lo mismo, si estás al lado ya sabes donde está. Pero si el que están espiando recibe la imagen, ya sabes dónde está el otro.

    ResponderEliminar