Aun es posible el robo de cuentas con el último WhatsApp
Los últimos cambios a WhatsApp, que parece haber conseguido un lugar como una app alternativa para el envío de mensajes de texto, no han asegurado realmente el sistema, al menos para los usuarios de Android. En una prueba realizada por asociados de The Heise Security, encontraron que aún es posible capturar una cuenta de forma inadvertida para enviar y recibir mensajes WhatsApp en nombre de aquel usuario.
Apenas hace dos meses, WhatsApp dejó de trasmitir los mensajes de los usuarios en texto claro. Esto significa que las herramientas tales como WhatsApp Sniffer ya no sirven más. Pero a las pocas semanas se hizo evidente que el nuevo enfoque de WhatsApp difícilmente sirviera de protección ya que la aplicación usa el número de serie IMEI del dispositivo en Android y la dirección MAC de la interfaz Wi-Fi en iOS para generar las contraseñas. Como estos son datos que se pueden obtener fácilmente, la librería PHP de WhatsAPI fue rápidamente adaptada para hacer uso de esta información y capturar la cuenta.
Dos semanas atrás, sin embargo, quedó claro que WhatsApp cambió el procesamiento del lado servidor. Los clientes web que usaban la librería WhatsAPI no pudieron operar con el servicio. Esto llevó a la gente a asumir que WhatsApp hizo seguro el sistema, pero como la compañía no proveyó ninguna información sobre sus cambios, parece estar basándose en la seguridad por oscuridad.
Esa oscuridad sin embargo no duró mucho. Un lector de Heise Security les envió un script que devolvió la operatividad a la librería WhatsAPI y permitía nuevamente secuestrar la cuenta de un usuario de WhatsApp de Android con solo el número de celular y el código de IMEI. Con la versión anterior de WhatsAPI, también era posible secuestrar usuarios iOS, pero no fue posible probarlo con la versión actual. Sin embargo es razonable asumir que otras versiones smartphone de WhatsApp son vulnerables de forma similar.
Aunque WhatsApp no respondió anteriormente las consultas en los medios de Heise Security, le informaron del problema de seguridad a la compañía y después de pocos días recibieron una respuesta de una persona que es, según informan los medios, uno de los fundadores de WhatsApp. Ella consultó informalmente cual versión de la App era la afectada y se le dijo que la versión Android 2.8.7326. Desde eso, sin embargo, hubo silencio.
Para ayudar a acelerar el cierre del agujero (de seguridad), Heise Security le ofreció entonces a WhatsApp todos los detalles de la vulnerabilidad y la cuenta usada con el script. Pasaros varios días desde eso y sin embargo Heise Security no fue consultada por WhatsApp para que le envíen esa información.
Teniendo en cuenta lo opaco de WhatsApp para manejar asuntos de seguridad, The H no puede recomendar el uso de ese servicio. Sugerimos a los lectores usar alguna otra aplicación como Skype, Facebook o incluso el correo electrónico o SMS donde al menos los riesgos son bien conocidos y documentados, de modos que puedan tomar control del riesgo al que se exponen.
Traducción: Raúl Batista - Segu-Info
Autor: djwm
Fuente: The H Security
Apenas hace dos meses, WhatsApp dejó de trasmitir los mensajes de los usuarios en texto claro. Esto significa que las herramientas tales como WhatsApp Sniffer ya no sirven más. Pero a las pocas semanas se hizo evidente que el nuevo enfoque de WhatsApp difícilmente sirviera de protección ya que la aplicación usa el número de serie IMEI del dispositivo en Android y la dirección MAC de la interfaz Wi-Fi en iOS para generar las contraseñas. Como estos son datos que se pueden obtener fácilmente, la librería PHP de WhatsAPI fue rápidamente adaptada para hacer uso de esta información y capturar la cuenta.
Dos semanas atrás, sin embargo, quedó claro que WhatsApp cambió el procesamiento del lado servidor. Los clientes web que usaban la librería WhatsAPI no pudieron operar con el servicio. Esto llevó a la gente a asumir que WhatsApp hizo seguro el sistema, pero como la compañía no proveyó ninguna información sobre sus cambios, parece estar basándose en la seguridad por oscuridad.
Esa oscuridad sin embargo no duró mucho. Un lector de Heise Security les envió un script que devolvió la operatividad a la librería WhatsAPI y permitía nuevamente secuestrar la cuenta de un usuario de WhatsApp de Android con solo el número de celular y el código de IMEI. Con la versión anterior de WhatsAPI, también era posible secuestrar usuarios iOS, pero no fue posible probarlo con la versión actual. Sin embargo es razonable asumir que otras versiones smartphone de WhatsApp son vulnerables de forma similar.
Aunque WhatsApp no respondió anteriormente las consultas en los medios de Heise Security, le informaron del problema de seguridad a la compañía y después de pocos días recibieron una respuesta de una persona que es, según informan los medios, uno de los fundadores de WhatsApp. Ella consultó informalmente cual versión de la App era la afectada y se le dijo que la versión Android 2.8.7326. Desde eso, sin embargo, hubo silencio.
Para ayudar a acelerar el cierre del agujero (de seguridad), Heise Security le ofreció entonces a WhatsApp todos los detalles de la vulnerabilidad y la cuenta usada con el script. Pasaros varios días desde eso y sin embargo Heise Security no fue consultada por WhatsApp para que le envíen esa información.
Teniendo en cuenta lo opaco de WhatsApp para manejar asuntos de seguridad, The H no puede recomendar el uso de ese servicio. Sugerimos a los lectores usar alguna otra aplicación como Skype, Facebook o incluso el correo electrónico o SMS donde al menos los riesgos son bien conocidos y documentados, de modos que puedan tomar control del riesgo al que se exponen.
Traducción: Raúl Batista - Segu-Info
Autor: djwm
Fuente: The H Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!