Envío erróneo o controvertido, por favor lee los comentarios.
La verdad es que de simple este método da hasta un poco de miedo. Es la forma más sencilla que he visto para que alguien de tu entorno te pueda robar la cuenta de WhtasApp con que te despistes unos segundos de tu terminal. Esta forma de espiar el WhatsApp consiste en registrar el número de teléfono de WhtasApp en cualquier otro terminal - incluso en una máquina virtual de Android, por ejemplo - y solicitar que la verificación se haga por medio de una llamada de teléfono que te de el código.
|
etiquetas: whatsapp , seguridad , android , hacking , iphone , privacidad , siri , sms , w
Una cosa es un "bug" y otra cosa esto, que yo no lo considero un bug, ni un fallo de seguridad.
De hecho no creo que el sistema de verificación esté mal ni que deba ser corregido.
A fin de cuentas se está enseñando al grueso de los usuarios cómo cometer un delito; sí que es cierto que el problema está en Whatsapp, pero, el "fallo" no lo puede solucionar o controlar el usuario final, es cosa de Whatsapp.
No sé, si mañana alguien descubriera una manera de entrar en las cuentas corrientes de X banco ¿debería divulgarlo?
Es comprometer a millones de usuarios...
Una cosa es un "bug" y otra cosa esto, que yo no lo considero un bug, ni un fallo de seguridad.
De hecho no creo que el sistema de verificación esté mal ni que deba ser corregido.
Estamos hablando de que aún teniendo el teléfono bloqueado una persona puede sustraer los mensajes de tu cuenta. Es como si yo te robo las llaves del coche y gracias a ello puedo entrar a tu casa.
Aquí el problema es que te haces pasar por otra persona gracias a que le has "robado" su terminal.
Y siguiendo tu ejemplo, efectivamente, si me robas el coche y dentro del coche he dejado las llaves de casa y con esas llaves entras en mi casa, no se puede afirmar que la puerta de mi casa tenga ningún fallo de seguridad.
De ahí que saliese en su día la verificación en dos pasos por poner un ejemplo.
De todos modos nos estamos yendo un poco del tema principal de tu comentario que era el no desvelar este tipo de fallos
En cualquier caso, yo solo soy partidario de difundir este tipo de fallos cuando todo lo demás ha fallado (información al responsable, denunciado en su caso si procede, etc), pero que es una opinión y opción personal, vaya
Pensándolo creo que si es un fallo de seguridad, porque whatsupp debería de saber que se puede confirmar con el teléfono bloqueado. Es tan sencillo como añadirle un paso. Confirmar desde el dispositivo en el que esta instalado whatsupp si este esta activo. Aun así saldrían trucos seguramente.
Si tienes Whatsupp en teléfono A, bloqueado.
Desde teléfono B lo activas con numero A.
A recibe la llamada, coges.
B ha sido activado correctamente.
Creo que el tema seria que la propia aplicación identifique la llamada y te pida confirmar si A y B son diferentes.
Si tienes Whatsupp en telefono A, bloqueado.
Desde telefono B lo activas con numero A.
A recibe la llamada, coges.
A al recibir la llamada muestra una notificación en Whatsupp, ¿ha solicitado la confirmación con llamada?
Si: B ha sido activado correctamente.
No: B no se ha podido activar.
Si estas activando tu Whatsupp desde el numero de móvil legitimo te va a saltar ese mensaje.
Si lo haces desde un emulador te saltara pero en tu móvil, protegido contra bloqueo.
Solo se me ocurre que si estas sin datos o conexión wifi pero si recibes llamadas no podrías activarlo por ese método, pero es que tampoco podrías usar whatsupp.
En principio parece sencilla la solución.
En resumen: hay que recibir una llamada en el terminal de la víctima, y la tiene que responder el atacante. Vamos, un lio. Si tienes tal acceso al teléfono, casi puedes espiarle los mensajes directamente.
No es demasiado práctico (la víctima se entere en seguida). No es útil ni para novias/novios celosas, ya que es más cómodo cotillear directamente a la vieja usanza.
Escaneo con el teléfono de la víctima el código QR mantengo sesión iniciada y listo. Para darse cuenta la victima tiene que entrar en su menú de whatsapp y casi nadie pasa por ahí.
Lo he hecho y funciona. No hay más.
¿Qué ventajas tiene esto?
Esto no es un problema de whatsapp, es un problema del sistema, también se puede hacer con una cuenta de gmail, le das a recuperar cuenta, eliges la llamada telefónica, pones el código y a correr.
Pues es una forma de verlo curiosa, dado que evidentemente hay un problema de seguridad y el sistema de verificación evidentemente te lo puedes saltar.
Y tampoco es que esté bien redactada, me ha costado bastante entender lo de "Esta llamada siempre se podrá atender siempre, ya que a día de hoy, ni iPhone ni Android tienen una opción de "desbloquear terminal para responder llamadas"."
Yo hubiera escrito "En los teléfonos iPhone o Android, se pueden recibir llamadas aunque el terminal esté bloqueado".
Tras entenderlo entiendo un poco el sentido del supuesto fallo de seguridad que ve el autor, cuando robas un terminal, está bloqueado, por lo que no puedes enviar llamadas ni enviar mensajes. Pero si alguien llama, puedes recibir la llamada.
Puestos a robar el terminal podríamos robarlo ya desbloqueado
Voto errónea
De todas formas el whatsappweb es un peligro. Con un poco de ingeniría social, y con el firebug o un proxy se puede modificar el código de la propia página de web.whatsapp.com para hacer phising de que es una promo o algo... Luego a mano se cambia la url en el navegador por mipromo.midominio.es, o se puede hacer un popup con la url deshabilitada y un iframe y se puede exponer la página en una tienda, un certamen, lo que sea.
Yo lo hecho (en casa) por probar y funciona. Lo único que el código QR caduca. Pero quizás se pueda hacer click de forma automática con un setInterval y un click sobre el id del código QR.
Es explotable por un párvulo...
No me parece que sea tremendo un fallo en el que tienes que conseguir realizar un robo físico.
-Llamas a la operadora.
-Dices que has perdido la tarjeta SIM, que te envíen un duplicado a casa.
-Estás en esa casa a la hora que llegue el reparto y convences para que te lo entreguen a ti.
Como dice el artículo: "Es un método similar al de robar la cuenta de WhatsApp utilizando Siri y la previsualización de códigos SMS" www.elladodelmal.com/2013/05/un-pequeno-truco-de-bar-de-iphone-con.htm
#45 Pero ese backup depende de tu cuenta de iCloud y esa cuenta no te la han robado.
Eso sí, se dará cuenta en seguida, pero según el artículo no lo puede solucionar hasta pasada media hora. El atacante tiene 30 minutos para poder liarla
Puedes seguir este articulo para acceder temporalmente a la cuenta. Y no ha sido necesario robar nada. Sólo esperar a que se vaya al baño para hacer esa llamada de verificación y responder la llamada.
Recuerdo unos chavales que un día se encontraron en la calle las llaves de un deportivo y como era una zona con pocos coches pudieron localizarlo fácilmente. Los tíos se fijaban cuando no iba a estar el dueño y se iban a dar una vuelta con el coche, pero lo volvían a dejar aparcado dónde estaba. Podríamos decir entonces que no robaban nada, porque siempre lo devolvían. Pero si les hubieran pillado me temo que les hubiera caído un puro por robo.
PERO es necesaria la cuenta de Google para usarlo, y la mayoría de la gente sólo se hace cuentas de Whatsapp porque no necesitas saber más que el número de teléfono para comunicar con ellas, no el email de la cuenta de Google.
Todo ello mucho más sencillo que aceptar una llamada de un par de minutos, sin lugar a dudas...
Si te han robado el movil, pasan bastante de eso. Lo que quieren es vender el terminal.
Si es una investigación policial, hacen un análisis forense como dios manda.
Las personas más probables a las que le puedan interesar espiar los whatsapp son los padres que vigilan a sus hijos o las parejas celosas
Y de poco les sirve, ya que es super cantoso. En cuanto tengan el whatsapp en el nuevo terminal, se dejan de recibir en el antiguo... O sea, q solo sirve para una vez.
En resumen, esto no es un "hackeo" ni una vulnerabilidad, ni tampoco exclusivo de WhatsApp....
Solución: Poned el pin siempre!!! Conozco mucha gente que tiene el movil sin pin, con lo que eso supone en caso de robo