martes, agosto 05, 2014

Un agujero de seguridad en Whatsapp. SI! se puede acceder a conversaciones privadas. Como?

La semana pasada pude acceder y leer las conversaciones del WhatApp de una chica

¿Cómo ocurrió?.

Di de alta una nueva línea de teléfono, introduje la SIM en mi terminal, bajé e instalé WhatsApp y zasss! me apareció todo el perfil de una chica, con su foto, sus grupos, y sus conversaciones. De hecho recibía mensajes en mi terminal dirigidos a ellas e incluso podía contestar a los mismos.
En las imágenes de abajo podéis ver lo que me apareció en mi teléfono y a lo que tenía acceso, con algunos comentarios "curiosos" ;).

De Whatsapp acceso mensajes privados

Cuando empecé a salir de los grupos algunos de los miembros de los mismo me preguntaron por qué los abandonaba (pensándose que era la chica y realmente no sabían que era yo).

GRAVE no, MUY GRAVE

Este hecho es  muy grave desde el punto de vista de seguridad personal, e incluso profesional para los que utilizáis WhatsApp por razones también laborales por qué podría permitir a una persona hacerse pasar por otra (suplantar identidad), hacer chantaje personal o profesional por los contenido y conversaciones allí accesibles e incluso pedir dinero por evitar revelar contenidos o vender y traficar con el contenido y es tan sencillo como dar de alta números de teléfonos sin compromiso de permanencia a una operadora ver que contenido tiene en WhatsApp para después darlos de baja … no es caro …  

¿Qué había ocurrido en mi caso? Sencillamente que la operador de telefonía móvil me había asignado una linea que hasta hace muy poco pertenecía a una chica.

¿Cómo puede ocurrir esto?. Muy fácil. El método que tiene WhatsApp de validación durante la instalación es muy sencillo, solo requiere que informemos de nuestro número de teléfono, a continuación nos envía via SMS un código (PIN) a dicho número y este es el que tenemos que introducir para acabar la instalación. Así verifica Whatsapp mediante un SMS que nosotros tenemos el número en cuestión. Con este sencillo método, aparece un agujero de seguridad como os he descrito que permite acceder a información personal  y privada. Whatsapp no sabe si el número sigue siendo de la misma persona o la operadora lo ha “reciclado” asignándolo a un nuevo cliente.

¿Quién es el responsable de este agujero graves? WhatsApp.

¿Cómo lo podría solucionar? Incorporando en el método de instalación una contraseña personal que solo sabe el propietario de tal forma que cuando se recicla un número de teléfono, si no se introduce la contraseña personal entonces borra el perfil, los grupos y los mensajes. De esta manera yo no conocería la clave personal de la chica y no hubiese visto sus mensajes, fotos, videos y grupos.

¿Que podemos hacer nosotros?. Cuando cambies de número de teléfono (no de terminal) o cuando lo des de baja voluntariamente, antes accedes a WhatsApp y a todos los programas que utilicen un sistema de autenticación en la valuación de la instalación con el mismo método, y borra todo el contenido.

Ya lo sabes …

Lluis Anaya