WhatsApp es el cliente de mensajería más
utilizado en todo el mundo. Mientras que durante mucho tiempo esta
aplicación ha sido duramente criticada por su nefasta seguridad, tras la
implementación del actual sistema de cifrado de extremo a extremo hace
un año se ha ganado el respeto de muchos expertos de seguridad. No llega
hasta el punto de ser tan segura como Signal o Matrix, pero sí cuenta
con una seguridad a la altura de la importancia de la plataforma.
La autenticación de WhatsApp se basa,
principalmente, en el número de teléfono. Cuando nos queremos conectar a
los servidores de la plataforma, el cliente de WhatsApp envía el número
de teléfono para, tras verificarlo, brindar acceso al usuario. Aunque
esta no es la mejor forma de proteger ni la privacidad de los usuarios
ni las correspondientes cuentas, es muy útil para que el usuario medio
pueda utilizar de forma “segura” la plataforma sin tener que recordar
contraseñas.
Cuando iniciamos la aplicación por primera vez, se verifica el número
de teléfono a través de un SMS o una llamada de voz y, una vez
autenticado, se guarda el token en el propio dispositivo para poder
seguir autenticado en el servidor. Cuando cambiamos de dispositivo e
iniciamos sesión en otro con el mismo número, se crea un token nuevo,
invalidando el anterior (razón por la que no se puede iniciar sesión en
dos dispositivos a la vez), y se repite el proceso anterior.
Como ya hemos dicho, los sistemas de autenticación de WhatsApp no son
precisamente los mejores y, por ello, recientemente han descubierto una
nueva forma de hackear WhatsApp y acceder a su historial de chats
utilizando WhatsApp Web.
Hasta ahora, la única forma de hacerse con el control de WhatsApp era
mediante complejos ataques a las redes móviles que brindaran al
atacante de acceso y control sobre el número de teléfono, aunque,
recientemente, han encontrado una nueva forma de hackear WhatsApp a través de WhatsApp web, la plataforma lanzada en 2015 que permite controlar el cliente de mensajería desde el PC.
Creando un falso login en WhatsApp Web podremos hackear WhatsApp desde el navegador
La forma de hackear WhatsApp a través del cliente del navegador es
muy sencilla. Lo único que tenemos que hacer es engañar a la víctima
para que escanee un código QR malicioso para autorizar el ordenador del
atacante dentro del cliente de WhatsApp y poder conectarnos a WhatsApp
Web y, con ello, acceder a todos los chats de la víctima.
De esta manera, enviando un código QR malicioso a la víctima, si esta lo escanea, tendremos acceso a todos sus WhatsApp.
Este método de hackear WhatsApp tiene varios inconvenientes:
- La víctima verá el equipo en la lista de dispositivos autorizados para usar WhatsApp Web.
- Si la víctima está usando WhatsApp Web e intenta conectarse el pirata, la víctima verá un aviso de que se está utilizando WhatsApp Web en otro sistema.
- Es necesario llevar a cabo un ataque de ingeniería social bastante complejo.
- El servidor de WhatsApp cambia constantemente el código, por lo que hay que ser rápidos para llevar a cabo el ataque.
Por el momento, no hay forma de protegerse de este tipo de ataque.
Además, el código de demostración para llevar a cabo el ataque se
encuentra disponible en GitHub, por lo que debemos extremar las
precauciones ya que, probablemente, en los próximos días aumenten los
ataques informáticos que buscan explotar este fallo a través de esta
vulnerabilidad.
Fuente: https://www.redeszone.net/
No hay comentarios.:
Publicar un comentario