Poniendo palabras en boca de otros con FakesApp
Una vulnerabilidad encontrada por investigadores de CheckPoint en el intercambio de información entre WhatsApp y su versión web podría permitir interceptar y manipular mensajes al usuario.
Los habituales de "Una-al-día" saben que cuando WhatsApp aparece por aquí no es para nada bueno. La aplicación siempre ha estado ligada a la falta de seguridad en las comunicaciones, y parecía que con la inclusión del cifrado punto a punto esto podía cambiar.
Dikla Barda, Roman Zaikin y Oded Vanunu, tres investigadores de CheckPoint, pusieron su punto de mira precisamente en este proceso de cifrado. Lo que encontraron es que WhatsApp utiliza protobuf2 (un mecanismo de serialización de Google) para el cifrado de mensajes.
Los investigadores aprovecharon el intercambio de claves que se produce al iniciar WhatsApp Web, y capturaron los parámetros que se pasan durante la lectura del código QR generado para obtener toda la información necesaria para el descrifrado de mensajes.
Los mensajes contienen, entre otros parámetros:
FakesApp: A Vulnerability in WhatsApp:
https://research.checkpoint.com/fakesapp-a-vulnerability-in-whatsapp/
Basado en un icono hecho por Freepik en www.flaticon.com |
Los habituales de "Una-al-día" saben que cuando WhatsApp aparece por aquí no es para nada bueno. La aplicación siempre ha estado ligada a la falta de seguridad en las comunicaciones, y parecía que con la inclusión del cifrado punto a punto esto podía cambiar.
Dikla Barda, Roman Zaikin y Oded Vanunu, tres investigadores de CheckPoint, pusieron su punto de mira precisamente en este proceso de cifrado. Lo que encontraron es que WhatsApp utiliza protobuf2 (un mecanismo de serialización de Google) para el cifrado de mensajes.
Los investigadores aprovecharon el intercambio de claves que se produce al iniciar WhatsApp Web, y capturaron los parámetros que se pasan durante la lectura del código QR generado para obtener toda la información necesaria para el descrifrado de mensajes.
Los mensajes contienen, entre otros parámetros:
- conversation: El contenido del mensaje.
- participant: Miembro del grupo que manda el mensaje.
- fromMe: Si el mensaje ha sido enviado por el propio usuario.
- remoteJid: Contanto o grupo al que se en vía el mensaje.
- id: Identificador de los datos tal como se almacena en la base de datos interna.
- Cambiar la identidad del emisor de un mensaje en un grupo, incluso no siendo miembro del mismo: En este caso, se puede manipular el campo "participant" a un usuario o un teléfono.
- Cambiar la respuesta de alguien: En este caso, se crea una respuesta ficticia en un chat, lo que permite escribir mensajes en chats propios haciéndose pasar por el interlocutor. Esto pued ser usado para "poner palabras en boca de otros".
- Mandar mensajes "trampa": Mandar un mensaje a un grupo que solo verá uno de los miembros. En este caso, se manipula la base de datos de mensajes. Es especialmente útil para realizar ingeniería social y hacer que un miembro del grupo revele secretos.
La vulnerabilidad fue reportada al equipo de WhatsApp, aunque no parece haber respuesta del mismo. La extensión de Burp Suite puede encontrarse en este repositorio de Github.
Francisco López
Más información:
https://research.checkpoint.com/fakesapp-a-vulnerability-in-whatsapp/
Via: unaaldia.hispasec.com
Poniendo palabras en boca de otros con FakesApp
Reviewed by Anónimo
on
5:30
Rating: