Cómo convertirse en Tripulante Aéreo Autorizado con un SQL Injection Level 1 (y saltarse las colas de seguridad de los aeropuertos)

Las técnicas de SQL Injection fueron descubiertas en 1998. El 25 de Diciembre de 1998 el investigador rfp (rain.forest.puppy) publicaba el famoso ezine en el que hablaba de cómo se podía saltar la seguridad de una aplicación web que validaba usuarios contra una tabla en una base de datos usando consultas SQL con cadenas de texto concatenadas. Acababa de nacer el fallo de seguridad que más impacto ha tenido en la historia de la seguridad web desde que nació la Web.

Figura 1: Cómo convertirse en Tripulante Aéreo Autorizado con un

SQL Injection Level 1 (y saltarse las colas de seguridad de los aeropuertos)

Yo le dediqué años de estudio a las técnicas de SQL Injection, di muchas charlas, publiqué muchos artículos, fueron parte de mi trabajo de doctorado, y acabamos publicando un libro con todo esto que a día de hoy sigue siendo uno de los más vendidos, quizá porque sigue siendo fundamental para un pentester o un developer conocer estas técnicas y sus riesgos.

Figura 2: Libro Hacking de Aplicaciones Web "SQL Injection" 4ª Edición

de Enrique Rando, Chema Alonso y Pablo González en 0xWord

Hoy en día no es tan fácil encontrar estas vulnerabilidades como lo fue hasta el año 2010, donde saber SQL Injection era equivalente a tener siempre comodines en la manga. Aparecía en cualquier sitio. Un SQL Injection, un Blind SQL Injection, uno de errores ODBC, un Remote File Downloading, un Time-Based Blind SQL Injection, un Arithmetic Blind SQL Injection. 

Figura 3: NT Web Technology Vulnerabilitys de rfp

(en la Wayback Machine)

Recuerdo jugar con la web de mis admirados Fernando Alonso y Pedro de la Rosa que tenían unos bonitos SQL Injection en sus páginas web, pero podría enumeraros centenares de ellas que aún tengo en mi cabeza. Una de las veces, en el año 2009, fui invitado a ir a la Yahoo! Security Week a dar una charla de Web Security a los Paranoids de Yahoo! Allí Palako y yo hicimos Live-demos de SQL Injection hasta que recibimos un mensaje en papel que ponía: "Please, no more non-Yahoo! sites live demos". Era tan fácil, estaba por tantos sitios, que casi podías hacer lo que quisieras en cualquier página web del mundo. Si es que servía hasta para ligar.

Bypassing airport security via SQL injection 

Hoy en día, 26 años después, a mí me gusta aún, de vez en cuando, echar un ojo y buscar algún sitio que aún tenga estos bugs clásicos, para ver si siguen existiendo y para sentir que he rejuvenecido y he vuelto a tener 25 años y estoy haciendo un pentest a una web. Busco alguno, lo reporto, y luego publico un post de eso por aquí. Es mi pasión, qué os puedo decir que no sepáis ya.

Figura 4: La plataforma para autorizar KCM

Pero parece que no se han erradicado del todo, y dos investigadores, Ian Carroll y Sam Curry, han encontrado un SQL Injection de libro, Level 1, en la web que controla el sistema de autorización de los Known Crewmembers (KCM) o tripulantes conocidos de las compañías aéreas, que tienen cola de acceso priorizada en los aeropuertos americanos gestionados por la TSA (Transportation Security Administration).

Figura 5: Login con SQL Injection Level 1

El sistema de administración es un portal web de acceso púbico sin VPN, sin Passkeys, sin 2FA, sin control de mensajes de error, sin control de cuentas privilegiadas, sin WAF, y con un SQL Injection de libro que permitía poner un 'or '1'='1  y tener un bonito acceso al panel de administración para poder ver los nombres de usuario y las credenciales, en hash MD5, de todos los usuarios de los sistema, además de los datos de todos los tripulantes. Ahí, ¡a lo loco!

Figura 6: Administración de los KCM

Pero por supuesto, lo mejor es que te podías dar de alta como KCM dentro de la plataforma, y luego, siguiendo las reglas de los KCM acceder a esas colas en todos los aeropuertos americanos gestionados por la TSA.

Figura 7: Prueba de acceso de un nuevo KCM

¿Os acordáis de la famosa película de "Catch me if you can" de Leonardo di Caprio con la escena en la que accede a los aeropuertos vestido de piloto para ir de un lugar a otro? Pues con un SQL Injection de Level 1, hasta mediados de 2024 era así de sencillo. 

Figura 8: Reglas de acceso para los KCM

(lo de las azafatas de la película es opcional)

Hoy en día el bug ha sido corregido, que los investigadores han hecho Responsible Disclosure. Pero no me digáis que no es una historia que te hace caer una lagrimilla al ver ese SQL Injection.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Evil Signature Injection: Borrado remoto de bases de datos, buzones de correos y ficheros de log con Evil Signatures y tu EDR

Después del incidente con Crowdstrike, uno de los EDR más famosos del mundo, los ojos de los investigadores de seguridad se han puesto en ellos. Tener en el sistema objetivo de un ataque un software que se ejecuta con tantos privilegios se ha convertido en oportunidad de usarlo como herramienta del atacante en lugar de temerlo como una herramienta defensiva.

Figura 1: Evil Signature Injection: Borrado remoto de bases de datos,

buzones de correos y ficheros de log con Evil Signatures y tu EDR

Ayer sábado, tranquilo por la tarde, comencé a repasar las charlas de BlackHat y DefCON, y me topé con el trabajo de EDR Reloaded: Erase Data Remotely de los investigadores Tomer Bar y Shmuel Cohen. Desde el principio me encantó la idea por lo simple y hacker que es, y sobre todo, porque es algo que hacíamos nosotros hace muchos años.

Back in 2012 with Eicar

En el año 2012, durante un tiempo, estuve jugando mucho con los Terminal Services y la Apps en Citrix. Escribí muchos posts sobre ellos, y acabé dando una charla junto al gran Juan Garrido en DefCON sobre Terminal Hackpplications llamada "Bosses love Excel, hackers Too", donde llevábamos, además de muchos de estos trucos que quedaron en el blog, una idea del gran Silverhack de meter la shell en EXCEL y desde una sesión de Terminal Services o Citrix controlar la máquina. 

Figura 2: Bosses love Excel, hackers too

Entre los trucos, estaba el de forzar que cantara el antivirus del servidor incluyendo la firma de EICAR para testar si estaba siendo investigada por un Antimalware (aún no se utilizaba el concepto de EDR), y cuál era en concreto. Lo dejé en el artículo: "Eicar para hacer jailbreak en Terminal Services o Citrix".

Figura 3: Symantec EndPoint Protection vigila este Citrix
y nos da el botón de ayuda para entrar en el sistema.

La gracia era qué, si saltaba la consola del antivirus, o una alerta, podríamos llamar a la ayuda, sacar un explorador de ficheros y abrir el sistema completo. Es decir, hacer Jailbreak a una sesión de Terminal Services o Citrix mediante un firma de una muestra de malware "ficticia", como era EICAR.

Erase Data Remotely with Evil Signatures

Ese concepto de "Firma Maliciosa" o "Evil Signature" es lo que han utilizado los investigadores para hacer que se borren ficheros, aprovechándose de Windows Defender en los sistemas Microsoft, y de otros EDR en sistemas GNU/Linux, generando una Evil Signature que ingresan en el sistema de diferentes maneras, ya sea incluyéndola en un fichero binario, en un doc, en una llamada HTTP, en una consulta SQL, o en un alta de un usuario de una plataforma SaaS.

Figura 4: Búsqueda de Evil Signatures para Windows Defender

La idea es tan sencilla como, buscar las firmas que usa Windows Defender, y probar para tener tener el mínimo de caracteres necesarios para que el EDR de Microsoft lo detecte como si fuera un malware de severidad HIGH, para lograr que la acción que se lance sea la más drástica, es decir, eliminar el fichero. 

Figura 5: Windows Defender tiene diferentes acciones por severidad

El resto es conseguir que el fichero ese sea el que quiere borrar el atacante. Así que, a partir de ese momento, es objetivo es ver cómo meter la firma más pequeña en el sitio adecuado para saber qué fichero quieres que borre el EDR que está protegiendo esta máquina.

Figura 6: Introduciendo la Evil Signature en un HTTP Post

En el ejemplo anterior, la Evil Signature se introduce simplemente en un parámetro por POST desde una llamada HTTP, para conseguir que Windows Defender elimine los logs del servidor de Web de la máquina.

Figura 7: Logs del servidor Web eliminados por Windows Defender

Lo mismo se puede hacer con una sesión Windows FTP, en este caso inyectando la Evil Signature como si fuera el nombre del usuario, pero al inscribirse este username en el fichero de log, salta el EDR y se carga el archivo completamente porque es severidad High.

Figura 8: La Evil Signature en el username de un Windows FTP

Esto, en determinados sistemas puede ser más crítico. En este caso, se carga el mailbox de un Mozilla  ThunderBird, que no le hará ninguna gracia al usuario que, sin hacer ninguna acción se acaba de quedar sin ninguno de sus correos almacenados.

Figura 9: Borrado del buzón de Mozilla ThunderBird

Y por supuesto, el propio log de la máquina Windows que viene de serie en todos los sistemas de Microsoft y que usan los SysAdmin para controlar lo que está pasando en su plataforma. De repente verán vacíos temporales.

Figura 10: Borrado de los logs de Windows

También, se puede lograr que Windows Defender elimine su propio log, lo que es una maravilla para borrar los rastros que un atacante deja en un sistema.

Figura 11: Eliminando los logs de Windows Defender

Además, se puede lograr que la víctima expanda el ataque, ya que si el fichero de log pasa al servidor de logs, se llevará la Evil Signature consigo, así que si tenemos un Splunk, éste acabará siendo afectado también.

Figura 12: Afectando la Evl Signature a Splunk

Pero lo peor de este ataque es que si lo consigues meter en el Datafile de una base de datos y que el EDR lo tome como un malware de severidad High, entonces podrías conseguir eliminar la base de datos de un objetivo, lo que no debe ser gracioso para nadie.

Figura 13: Borrando la base de datos de un MariaDB con Evil Signature

En este caso, los investigadores han sido capaces de que el EDR se cargue bases de datos de MariaDB ( MySQL), PostgreSQL, MomgoDB (adiós a tu BigData) y SQLLite, lo que podría dejar sin funcionar la gran mayoría de servicios y aplicaciones que corren sobre ellos.

Figura 14: Bases de datos afectadas por Evil Signature Injection

Y por supuesto, también se pueden hacer los ataques desde servidor a cliente. En este caso sería un Client-Side Attack que se puede hacer por culpa de visitar un servidor vulnerado, o por un ataque a través de él.

Figura 15: El Web Server envía la Evil Signature al cliente

Y el cliente ve cómo se le borran los ficheros del sistema a través del EDR que tenga configurado para "protegerlo" de los atacantes. Paradojas de la vida.

Figura 16: Windows Defender borra la historia de

Google Chrome y los Web Data

La gracia es que podría hacerse un CSRF, un XSS, un SSRF, o cualquier otro Client-Side Attack para que un atacante haga un Evil Signature Injection en tu equipo y tengas un problema de seguridad serio. Por suerte, los reportes han sido tomados en serio y - tras varias iteraciones - se han corregido, pero esta técnica hay que tenerla en cuenta porque cualquier software privilegiado que corra en tu máquina podría ser víctima de Evil Signature Injection y tener un problema serio en tu plataforma.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Big Data: Tecnologías para arquitecturas Data-Centric

Siempre que publicamos un nuevo libro en 0xWord es un día de celebración. Cuesta mucho sacar adelante este proyecto, y poder decir que hoy tenemos ya a la venta el último ejemplar de "Big Data: Tecnologías para arquitecturas Data-Centric", escrito por Ibon Reinoso, y donde yo he colaborado con el prólogo y con un capítulo con historias de mis "Big Data Security Tales", donde narro mis aventuras con bugs y fallos de seguridad en estas tecnologías.

Figura 1: Big Data: Tecnologías para arquitecturas Data-Centric

escrito por Ibon Reinoso con prólogo de Chema Alonso en 0xWord

El libro, como os he dicho, lo ha escrito Ibon Reinoso que es Arquitecto de Soluciones y Senior Data Scientist, además de haber sido el director y profesor en el Programa Nacional Big Data, donde ha formado en estas tecnologías a más de 1.500 alumnos en más de 20 ciudades. También es el creador de BigBayData.com, pero sobre todo un  amante de los Datos.

Figura 2: Contactar con Ibon Reinoso

El libro es perfecto para meterse de lleno en la arquitectura de soluciones de Big Data, y en sus más de 200 páginas trata temas como Spark, NoSQL, MongoDB, Cassandra, Hadoop, Datos en Stream o Apache Kafka. Fundamentales para entender este mundo.

Figura 3: Big Data: Tecnologías para arquitecturas Data-Centric

escrito por Ibon Reinoso con prólogo de Chema Alonso en 0xWord

El libro, que es una lectura perfecta para iniciarse y ponerse a trabajar desde ya en entornos de BigData, trata también temas fundamentales en el tratamiento de datos, como la gestión de ficheros con Pyhton, los procesos ETL (Extraction, Transformation & Load) de datos, o los fundamentos del lenguaje SQL. Podéis ver el índice en el fichero que he subido a mi canal de SlideShare.

Figura 4: Índice del libro Big Data: Tecnologías para arquitecturas Data-Centricescrito por Ibon Reinoso con prólogo de Chema Alonso en 0xWord

Este libro, además, es el complemento perfecto para otra lectura que debes acompañar a esta, que es el libro de "Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas", que propone el uso de algoritmos de IA sobre entornos de BigData para resolver problemas de ciberseguridad.

Figura 5: Libro de Machine Learning aplicado a Ciberseguridad

de Fran Ramírez, Paloma Recuero, Carmen Torrano, Jose Torres

y Santiago Hernández en 0xWord.

Así que, si quieres un libro para este verano, ya tienes este texto disponible para que te lo puedas comprar, y además, puedes usar tus Tempos de  MyPublicInbox.

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "Big Data: Tecnologías para arquitecturas Data-Centric" y que además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace. La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 6: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 7: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 8: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 9: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 10: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhatsApp Encuestas: Cómo localizar dónde vives por pulsar un enlace de la encuesta. O como acabar” GeoPescado” al elegir carne o pescado en la Cenas de Navidad en los grupos de #WhatsApp

WhatsApp, siguiendo la estela de Telegram entre otros, añadió recientemente la posibilidad de hacer encuestas a los integrantes de un chat de grupo o de chats individuales. De cara a las comidas y cenas de navidad, están triunfado estas encuestas en los grupos para elegir el menú, pero el elegir carne o pescado, puede implicar que nos “GeoPesquen”, es decir que revelemos nuestra Geolocalización, perdiendo nuestra privacidad. 

Figura 1: WhatsApp Encuestas: Cómo localizar dónde

 vives por pulsar un enlace de la encuesta.

O como acabar” GeoPescado” al elegir carne

o pescado en la Cenas de Navidad

en los grupos de #WhatsApp

Si en nuestro grupo hay un integrante malintencionado, que es el mismo que confecciona la encuesta con la intención de saber nuestra ubicación, integrando una URL donde hacemos clic en la descripción para entender la encuesta nuestra ubicación estará comprometida. 

Dirección IP -> Tu ubicación

Es conocido que, si te conectas a un sitio web, tu dirección IP puede ser registrada y analizada. Y esta dirección IP puede dar información de tu ubicación - más o menos certera -. Esto sucede en todos los servicios que permiten compartir URLs y esta dirección IP que los sitios web pueden capturar y analizar, apunta, más a o menos, al lugar donde te encuentras, salvo que hagas uso de la red TOR, utilices una VPN o un Proxy que haga anónima tu conexión. Sobre esto hablamos unos meses, en este blog en el artículo de "Cómo pueden saber dónde vives por pulsar un enlace de un WhatsApps "Status", el artículo anterior que publicamos".

Figura 2:  En el log del Estado de WhatsApp se puede ver qué contacto vio

 el Estado y a qué hora, y luego cruzando esa hora en la tabla de Log

del servidor externo para saber qué IP usó en la conexión a la web.

Algunas aplicaciones te avisan del peligro de esta redirección que te saca de la aplicación para ir a un servidor externo que puede capturar tu dirección IP, pero otras muchas aplicaciones como Twitter, Telegram, Instagram o WhatsApp, no lo hacen. En el artículo de hoy explicamos cómo poder explotar la información que muestra el resultado de una encuesta (WhatsApp Encuestas), con los integrantes de un grupo de WhatsApp y en que momento lo han votado, lo que puede ser un problema para la privacidad del uso que haces de WhatsApp, así que toma nota.

Figura 3: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Ya hace años, los chicos de SecurityByDefault publicaron un ejemplo de cómo utilizar la carga automática de imágenes en la previsualización de los mensajes de WhatsApp  en los chats para capturar la dirección IP de un contacto. WhatsApp  y Telegram corrigieron esto para que no sea el destinatario del mensaje sino el emisor, el que cargue la imagen de previsualización, precisamente por privacidad.

Figura 4:  Previews generados de forma segura

para evitar captura de dirección IP

Como vamos a ver, a partir de recoger las conexiones que hagan los integrantes de un grupo de WhatsApp a una encuesta podremos correlacionar este resultado con la fecha y hora, de un log ad-hoc en la web donde fueron re-dirigidos los integrantes del grupo que hicieron clic en la descripción de la encuesta. Mediante una serie de pasos fáciles de realizar, una tabla en una BBDD y un fichero en PHP. Algo similar a lo que vimos que se puede hacer también con las previsualizaciones de las canciones de Spotify haciendo una re-dirección en WhatsApp.

Figura 5: Esquema del ataque para capturar la dirección IP

de un contacto de WhatsApp enviándole un redirect a una

canción de Spotify

La mitigación podría ser tan sencilla como un aviso por parte de WhatsApp del peligro que conlleva esta re-dirección o bien una concienciación a los usuarios de los riesgos contra su privacidad a los que incurren, esto último es el propósito final de esta explicación, para que puedan protegerse de los peligros en Internet correctamente.

La funcionalidad de las Encuestas en WhatsApp

Las Encuestas de WhatsApp es una nueva funcionalidad, que nos permite elabora dentro de un grupo una votación o en un chat individual. La encuesta tiene dos partes, la primera la descripción (donde podemos insertar una URL) indica el tema de la encuesta y las opciones para su publicación. 

Figura 6: Creación de una encuesta en el grupo de amigos de El Maligno.

Posteriormente podemos ver los resultados, mediante registro temporal, WhatsApp nos indica la elección por cada integrante del grupo, y cuando se realizó con día/mes/horas/minuto. Ahora ya podemos organizar esto. 

Figura 7: El gran Julián Isla se presta "voluntario" para la prueba

Por un lado, un registro de visitas a la web que capture la hora exacta y la dirección IP del visitante. Por otro un registro detallado de los integrantes de un grupo de WhatsApp que han realizado la encuesta haciendo clic en la URL de la descripción. Si hay "match", ya sabes la dirección IP y dónde está el contacto de WhatsApp concreto.

Cómo preparar la web de registro (Stickyweb)

En primer lugar, creamos una tabla en MySQL con el propósito de almacenar la GEO información de las direcciones IP de las visitas de los contactos que han sido redirigidos. La estructura de la tabla Log se muestra en la imagen siguiente.

Figura 8: Estructura de la tabla LOG donde se registrará la

GEO información IP de las visitas a xxxx.com

En segundo lugar, construimos una página web que, por simplicidad, consta de solo un fichero (index.php) y que también por simplicidad está construida en PHP, tal y como se puede ver en la imagen siguiente.

Figura 9: código PHP que obtiene la información de GEOIP

y la registra en la tabla LOG

En la ejecución del código PHP se recuperan las variables de entorno asociado con la navegación del usuario y que junto a un campo “Timestamp” de la tabla Log anterior expuesta, que supone la fecha de creación del registro en el momento que las instrucciones de PHP realizan la inserción de estos datos de navegación en la tabla Log de la base de datos MySQL.

Preparando el Cebo, creación de la encuesta

La clave para registrar a los usuarios es hacer que, en la descripción de la encuesta, se vea obligado a hacer un clic en el enlace, para poder elegir que tienen que votar. Por lo que la descripción tiene que ser breve.

Figura 10: Cuando preparamos la encuesta indicamos una URL externa

donde registraremos el acceso, en nuestro ejemplo el cebo es el menú de navidad.

Una vez desplegada la web y con la tabla de registro del Log en la base de datos funcionado como hemos visto antes, y hemos lanzando el cebo del menú en la URL externa más la encuesta, toca juntar todas las piezas de manera sencilla.

Cronología de los Eventos

Una vez que publicamos nuestra encuesta solo hay que esperar que los integrantes del grupo hagan un clic en la URL asociada a la descripción de la encuesta, y así saber qué dirección IP de las que han visitado la web externa es la suya.

Figura 11: Cronología de creación de la web, creación de la encuesta,

clic en la descripción, detalles de votación y correlación con el log.

Cronológicamente los contactos 1, 5, 6, 7, lo harán en el tiempo en los puntos 3, 4 y 5 respectivamente, como también muestra la imagen anterior. Es cierto que puede haber momentos de asincronía entre la hora de visita la web y la encuesta, pero... esa es labor ya de análisis fino.

Análisis de la Información registrada

Una vez que ya está registrada la GEO información IP de navegación de los integrantes del grupo que realizaron la encuesta, haciendo clic en la descripción de la encuesta, para poder entender lo que votaban. Una tabla Log de MySQL con la que procedemos a correlacionar el campo “FechaRegistro” (que recordemos que es de tipo TimeStamp) con la fecha y hora que muestra el “Detalles de la encuesta” que nos proporciona WhatsApp con día/mes/hora/minutos de los integrantes del grupo, como muestra la imagen siguiente.

Figura 12: Con los “Detalles de la encuesta” de WhatsApp podemos ver cuándo los integrantes del grupo hicieron la votación, y luego buscamos esa hora en la tabla de Log para saber qué IP usó en la conexión a la web.

El resto, es mirar la información extendida en la tabla de GEO Información IP que tenemos en la base de datos de MySQL con toda la información extendida que hemos sacado y que va asociada a la dicha dirección IP. Lo dicho, puede ser más o menos exacta.

Figura 13: Información extendida sobre la dirección IP

A partir de esta correlación tenemos accesible la información del número de teléfono (haciendo uso de la agenda) y de la dirección IP de conexión, que determinan la información geográfica asociada, así como el proveedor que nos presta el servicio de interconexión, ya sea móvil o no, exponiendo la privacidad de navegación de los contactos de una manera ni autorizada ni solicitada.

Usuario de WhatsApp en modo oculto

Existen usuarios de WhatsApp que tienen habilitada, en su privacidad que no aparezca si están activos o no, así como su última conexión. Estos usuarios también pueden ser registrados, si hacen clic en la URL de la descripción y votan alguna de las opciones. 

Figura 14: Podemos registrar también a los contactos de navegación oculta, puesto que también son registrados en las encuestas, como vemos la encuesta se entrega y no tiene fecha de lectura, pero si fecha votación

Podemos obtener su ubicación y cuando realizo la votación, aunque estuviese oculto. Esto es un añadido de falta se seguridad expuesta hasta ahora, este tipo de usuarios suelen ocultar su navegación por algún tipo de presión de su entorno.

Impacto y mitigación

El impacto de esta práctica es una pérdida efectiva de la "GEO privacidad" de los usuarios que hubieran hecho clic en el estado, pudiendo suponer un seguimiento no autorizado de las personas. Algo que de facto es deducir si se está usando una red móvil o una conexión fija, en qué ciudad, provincia o país se está conectado, con todas las implicaciones para la seguridad de las personas o de sus bienes que ello pudiera implica. 

Tal vez, se debiera advertir al usuario que este será redirigido a una web externa, (como ya hace WhatsApp), pero debería informar de lo que ello implica, lo que  sería una mitigación muy efectiva, ya que las personas se darían cuenta del peligro de pérdida de privacidad que eso implica.

aaa

Figura 15: WhatsApp avisa antes de hacer una redirección fuera de la cuenta,

y ahí podía poner más información del riesgo de privacidad.

Además, se podía hacer que el registro de la votación de WhatsApp que fuera menos "detallado", y hacer las encuestas más similares a Telegram, que no permite inserta URL en la descripción, y permite hacer la votación anónima

Figura 16: En Telegram se permiten las votaciones anónimas

Para poder participar en una encuesta si la información de la descripción existe un enlace externo, que unido al desconocimiento general de su funcionamiento, puede conllevar a visitar una URL externa con registro de visitas, con la funcionalidad del registro temporal de “Detalle de la encuesta” que hace WhatsApp de cada votación, implica una importante exposición de la privacidad de navegación, al correlacionar toda esta información.

Saludos,

Autor: Gaspar Cano

Contactar con Gaspar Cano