lunes, mayo 01, 2017

Cómo las invitaciones a grupos de #WhatsApp filtradas en Internet afectan a tu #Privacidad

La privacidad de tu WhatsApp comienza con tu número de teléfono. Con él se crea tu cuenta y a él van asociadas cosas como tu estado, como tu foto o tu mensaje por defecto. Además, por ser el identificador de tu cuenta de usuario, se puede utilizar para saber si estás online o no, y lo que es mucho peor, para intentar robarte la cuenta con un ataque a la SIM, haciendo un duplicado de la misma o pidiendo una migración.

Figura 1: Cómo las invitaciones a grupos de WhatsApp filtradas en Internet afectan a tu privacidad

Para que no sea fácil espiar WhatsApp existen ciertas medidas de protección que debes aplicar para que no te puedan robar la cuenta de WhatsApp, para mejorar tu privacidad en WhatsApp y para evitar que te espíen los mensajes de WhatsApp. Y hoy viene una curiosa historia sobre lo que pasa cuando te agregas a un grupo de WhatsApp y éste... se convierte público para todo Internet, tal y como descubrió mi amigo rootkit, que se topó con muchas de ellas en la red.

Las invitaciones a grupos de WhatsApp

Cuando alguien crea un grupo de WhatsApp, la aplicación genera una dirección URL que cuelga del dominio https://chat.whatsapp.com. Esa invitación lleva un ID que identifica al grupo y todo el mundo que tenga acceso a esa URL podrá conectarse al mismo. Por supuesto, el administrador del grupo siempre podrá echar a cualquier miembro que no desee en cualquier momento, incluso si se ha añadido con una URL de invitación válida.

Normalmente, cuando se envía esa URL se hace vía la app, pero la dirección también puede ser enviada vía e-mail e incluso muchas personas las hacen públicas en sus perfiles de redes sociales, lo que lleva a que pueda estar en muchos sitios y, por supuesto, acabar indexadas en los buscadores.

Figura 2: Ninguna dirección URL de chat.whatsapp.com indexada en Google

En el caso de Google, como puede ver, el hacking con buscadores no aporta mucho, ya que los responsables del dominio de WhatsApp.com han eliminado todas las direcciones que pudieran estar allí. Hay que recordar, que hace tiempo era posible sacar información personal de los usuarios de WhatsApp por culpa de una mala gestión de las opciones de indexación en los buscadores.

Figura 3: Direcciones de chat.whatsapp.com indexadas en Bing

Sin embargo, si repetimos la búsqueda en Bing, vemos que hay algunas direcciones URL indexadas en el buscador. Esto es así porque seguramente habría unas opciones de indexación que permitía tanto a Google como a Bing indexar las URLs. Después se eliminaron manualmente las de Google, pero las de Bing se han mantenido. Un ejemplo más de por qué el hacking con buscadores hay que probarlo con todos los posibles y saberse las opciones del Bing Hacking.

Figura 4: Dirección URL de invitación de grupo de WhatsApp encontrada en Bing.

Una vez que se tiene la dirección URL con la invitación al grupo de WhatsApp, se puede solicitar vía navegador. Si el grupo está muerto - ya no existe -, probablemente saldrá un mensaje genérico como el de la imagen superior. Se puede ver que no hay una foto ni un nombre para el grupo.

Figura 5: El grupo de WhatsApp no existe más.

Y cuando se intenta acceder, no hay nada que ver. Sin embargo, si el grupo aún existe, podremos ver el nombre o la foto del mismo en la visualización de la invitación, tal y como se aprecia en la imagen siguiente:


Figura 6: Grupo que aún existe. Se ve el nombre. No tiene imagen de grupo

En la imagen siguiente se ve otro grupo de WhatsApp que tiene la foto y el nombre, al que podemos añadirnos libremente si queremos, pero lo mejor es que...

Figura 7: Un grupo de WhatsApp vivo

Antes de añadirte al grupo puedes acceder a la información de los miembros. Puedes ver sus fotos y sus números de teléfono desde la web. En este caso de 41 miembros que se han unido libremente al grupo, lo han convertido en su contacto, entonces le han dado permisos para ver su información de fotografía, número de teléfono y mensaje. La dirección del grupo ha sido publicada en Internet y entonces todo el mundo, a través de esta URL puede ver la información de los miembros del grupo.
Figura 8: Lista de miembros de un grupo de WhatsApp con la dirección pública de Internet.

Esto es aún más divertido se haciendo un poco de Hacking con Archive.org, buscas las más de 300 direcciones de grupos de WhatsApp que están indexadas en otro buscador, en este caso en The Wayback Machine.

Figura 9: Direcciones de grupos de WhatsApp indexadas en The Wayback Machine

Como los grupos de WhatsApp se crean y perduran durante mucho tiempo, muchas de esas direcciones aún siguen siendo funcionales, así que los miembros que se dieron de alta en esos grupos aún están accesibles sin necesidad de que te des de alta en el mismo.

Figura 10: Un grupo descubierto vía The Wayback Machine

Y sigue vivo, con la lista de sus miembros aún accesibles, con sus números de teléfono y fotografías de cada uno de ellos.

Figura 11: Otro lista de miembros de un grupo descubierto vía The Wayback Machine

Visto esto, está claro que si quieres proteger tu WhatsApp a prueba de balas, debes tener también muy presente a qué grupos te has dado de alta. Si el administrador del grupo no tiene cuidado con las invitaciones - y cualquier miembro del grupo podría acceder a ellas - entonces tu privacidad puede quedar expuesta en Internet.

¡Saludos Malignos!


Autor: Chema Alonso (Contactar con Chema Alonso)  

2 comentarios:

PAU) dijo...

Muy bueno!Pero una pregunta...como se puede saber la URL de un grupo de WhatsApp?
Y comentandote otro tema...es posible que la evilfoca me haya dado errores en el adaptador de red? Estuve gastandola y solo podía hacer ataques de denegación de ser icios en ipv4 e ipv6, los demás no me los ejecutaba correctamente. Por ejemplo el ARP spoofing no configuraba el protocolo https a https y nose porque.
Saludos!

Unknown dijo...

Chema por favor investigar esta url que estan enviando
http://шһатѕарр.com/?colores

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares