Menú principal

viernes, 9 de septiembre de 2011

Más hijackings para WhatsApp descubiertos

WhatsApp, cuyo nombre real es WhatsApp Messenger, es una aplicación de mensajería móvil multiplataforma, disponible para iOS, Android, BlackBerry OS y Symbian. El objetivo de esta aplicación es la sustitución del SMS funcionando a través de Internet, ya sea usando alguna red Wireless o utilizando un plan de datos móvil existente en el dispositivo. WhatsApp no supone al usuario ningún coste adicional en el envío de mensajes y está planteando competencia directa a los envíos de SMS de las compañías telefónicas.

¿Qué es el Hijacking?

Según la Wikipedia, Hijacking significa "secuestro" en inglés y en el ámbito informático hace referencia a toda técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, modems y un largo etcétera en cuanto a servicios informáticos se refiere. 

Historia

Hace un par de meses José Selvi, investigador de seguridad español, escritor del blog Pentester.es y consultor de seguridad en S21Sec, impartió una charla en el Curso de Verano de Seguridad Informática en la Universidad Europea de Madrid sobre auditorías de seguridad en aplicaciones móviles. En este evento se realizó la demostración de como conseguir un Account Hijacking de las cuentas de WhatsApp. Con este proceso se consigue suplantar la cuenta de un usuario enviando mensajes simulando ser cualquier número de teléfono. Las pruebas en la demostración se realizaron sobre el sistema operativo Android, pero son válidas para otras plataformas, como puede ser Apple iOS.

La vulnerabilidad está en el proceso en el que WhatsApp realiza la autenticación inicial para el registro. Cuando el usuario instala WhatsApp por primera vez en el terminal la aplicación solicita que se introduzca el número de teléfono. La aplicación realiza un proceso de comprobación para verificar que el número insertado por el usuario es correcto. Pero aquí viene el problema, ¿Cómo comprueba WhatsApp que el número introducido es el correcto? Utiliza mecanismos en el propio dispositivo por lo que podría ser manipulado. A continuación se puede visualizar la demostracion en vídeo.



Sin embargo, ya en Junio de este mismo año, Yago Jeús, otro investigador español de SecurityByDefault ya había publicado otro método para poder registrar cualquier número en WhatsApp basado en el uso de mensajes SMS spoofeados y engañando al sistema de verificación que utiliza la aplicación.


Sumados a estos dos métodos reportados, haciendo uso del mismo problema, es decir, las verificaciones en cliente y la generación del PIN, Adreas Kurtz descubrió otro mecanismo haciendo uso de falsificaciones de peticiones HTTP y respuestas del servidor, que ha publicado en su blog.

WhatsApp ha fortificado sus mecanismos de verificación y control, pero el depender de que sea el usuario el que reporte el número de teléfono y el terminal donde está instalando la aplicación, probablemente genere situaciones como estas en el futuro. No obstante, la última actualización parece protegerse contra estos mecanismos, así que parchéala.

1 comentario:

  1. Si dejamos que sea el programa el que realice las comprobaciones en el terminal, entonces les acusaremos de leer información privada.

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares