Resumiendo el proceso de login con WhatsApp Web, el Servidor envía un código QR al navegador del usuario, el cual debe ser escaneado por la aplicación del teléfono para que verifique el login contra el servidor. Si es válido el servidor enviará el token correspondiente directamente al navegador:
Se trata de "whatsapp-phishing" del alemán Martin Wagner (Mawalu) a la que empezaremos a echarle un vistazo, ya sabéis, siempre con propósitos educativos:
Funcionamiento
La herramienta utiliza selenium para obtener los códigos QR y express.js + socket.io para mostrarlos en una página aparte. Su funcionamiento es el siguiente:- El programa inicia un servidor http y socket.io.
- Si un nuevo cliente se conecta a socket.io, la aplicación realiza una solicitud a una instancia de selenium para iniciar un nuevo navegador y conectarse a web.whatsapp.com.
- Posteriormente se obtienen los datos del código QR y los envia al cliente a través de la conexión websocket.
- El javascript del cliente entonces muestra el código QR al usuario.
- Si la víctima explora el código con su teléfono, el document.cookie y localStorage del navegador de selenium se descargan en un archivo en la máquina del atacante.
- Los datos adquiridos se pueden utilizar para iniciar sesión en la cuenta de la víctima utilizando cualquier navegador.
- El usuario verá el navegador adicional cuando enumere sus dispositivos autenticados en Web Whatsapp.
- La víctima recibirá una advertencia si un navegador adicional se registra en el cliente web mientras está utilizando Whatsapp Web.
- Sigue siendo un ataque de ingeniería social: la víctima tiene que ser engañada para permitir el acceso.
No se si relacionado con esto, desde hace un tiempo, en android al menos, whatsapp te muestra un mensaje cuando whatsapp web está activo
ResponderBorrar