viernes, mayo 20, 2022

WhatsApp: Cómo te pueden espiar los horarios 24x7 por WhastApp #privacidad #hacking #WhatsApp

Hace unos años hicimos en el equipo de Ideas Locas un experimento bastante curioso utilizando unas funciones que de la app de Telegram para, utilizando la API que usaba por detrás  ( y ya veremos cómo en WhatsApp), monitorizar la actividad de conexión de una persona a su Telegram, y por tanto saber a qué horas se acostaba - más o menos - y en que momentos estaba online en su aplicación de mensajería de Telegram, como podéis ver en la Figura 2.

Figura 1: WhatsApp: Cómo te pueden espiar los horarios 24x7 por WhastApp 

Esta información, sacada de un plataforma de mensajería, era bastante peligrosa, ya que podrían controlar los horarios de una persona sin que ella lo supiera, solo por el hecho de utilizar un servicio. Fue una prueba de concepto que no publicamos, y que solo contamos en alguna presentación para explicar la problemática. ¿Pero qué pasa con WhatsAPP
En el caso de WhatsApp lo hemos podido realizar de igual forma, pero en lugar de utilizando la API, haciendo un escenario un poco más engorroso. Tan sencillo como montar una imagen de un navegador con una cuenta de WhatsApp con una sesión iniciada de WhatsApp Web. En este navegador, utilizando el mismo Plugin que usamos para hacer WannaSap, el gusano que se distribuía por WhatsApp, hemos monitorizado los estados de Online y Last-Seen en las cabeceras de las conversaciones.

Un extraño te vigila por Last-Seen en WhatsApp

Para que uno extraño, es decir, un número de teléfono de una persona que no tienes en tu agenda pueda monitorizarte los horarios a través de WhatsApp, el atacante debe aprovecharse de una mala configuración de seguridad desde el punto de vista de privacidad, que *NO SÉ NI POR QUÉ EXISTE*. Es decir, creo que el que diseñó los valores de configuración de Last-Seen pensó que todas las opciones posibles eran que "Nadie" viera ese dato, que lo vieran "Solo los contactos", y la otra opción era "Todo el mundo". 

Figura 3: Valores de Last-Seen en WhatsApp

Sí, esas podrían ser tres opciones de configuración, pero desde el punto de vista de este servicio, la opción de "EveryOne" no debería ni existir dentro del universo de posibilidades de configuración. Es decir, en la app de WhatsApp solo se deberían poder configurar "Nobody" y "My Contacts" y ya. Pero si has decidido poner "EveryBody", pues te pueden monitorizar.

Figura 4: Last-Seen en WhatsApp Web de un número que no nos conoce

En esta imagen se puede ver que, desde un terminal con WhatsApp Web se puede ver la última conexión de un número de teléfono que no me tiene en su lista de contactos ni que nunca ha chateado con nosotros, así que automatizando un plugin en Firefox, es posible leer constantemente ese dato desde un VM y alimentar una base de datos con horarios de muestreo y datos de Last-Seen para hacer un Time-Line como el de la figura 2.

Un contacto de WhatsApp te vigila cuanto estás Online (24x7)

La cosa es aún más divertida si es un contacto de tu Agenda, ya que no necesita la opción de EveryOne en Last-Seen, sino que puede tomar ventajas del aviso que da WhatsApp de que estás Online. Así que, con la misma estrategia, con un Plugin de Firefox, hemos probado a monitorizar tres números de contacto buscando el texto online en la barra del chat.

Figura 5: Tus contactos siempre pueden saber cuándo estás Online.
Es una característica de "Engament" que fomenta el uso de WhatsApp

Y por supuesto, se puede hacer un Time-Line igual, marcando en el muestreo - cada 5 segundos - de si estaba online o no ese contacto cuando hemos "clickado" en su chat. La idea es que el plugin va haciendo un recorrido por los chats cada ciertos segundos, y guarda en una base de datos la hora de muestreo y si estaba Online o no. El resto es cruzar lo datos.

Figura 6: Monitorización constante de contactos para hacer un
Time-Line de conexiones de un contacto entre Online y Last-Seen.

Para esto, no hay solución más que saber a quién tienes en tu agenda de contactos, porque siempre va a poder configurarse un servicio como este, tal y como hemos hecho nosotros. Así que, cuidado a quién le das tu número de teléfono que le estás dando tus horarios de vida. Es peligroso. WhatsApp debería dejar que se configurase la opción de "Que no se sepa que estoy Online".

Figura 7: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.


¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares