WhatsApp no cifra tu localización cuando muestra el mapa

 

La seguridad de WhatsApp no ha sido nunca de lo mejor desde que se lanzó, y por eso aparecieron muchas formas de espiar WhatsApp. En el caso del envío de los contenidos cifrados, debido a que no hacen uso de una implementación estándar deSSL, se conocen fallos que permiten descifrar las conversaciones de WhatsApp en muchos escenarios, pero también existen datos que no son cifrados, como el mensaje en el que se envía el número de teléfono del usuario que usa WhatsApp, y que puede ser descubierto con WhatsApp Discover.
Ahora, investigadores de la Universidad de New Haven han hecho una sencilla demostración que deja a las claras cómo las imágenes con los datos de localización no son cifrados cuando se compone la imagen que se muestra en el chat. En ese caso, la aplicación descarga la imagen desde los servidores de Google Maps sin utilizar cifrado, lo que permite a cualquiera que tenga acceso a la red podrá acceder a ese dato.
Figura 1: Envío de localización por WhatsApp
Para hacer la prueba, se ha conectado un terminal Android a una red WiFi montada en un equipo con Microsoft Windows al estilo de los Rogue AP, para dar conexión al terminal con WhatsApp. En él, se activa NetWork Minner, el programa que enescenarios de man in the middle, entre otras cosas, recompone las imágenes que se envían por la red.
Figura 2: Imagen con la localización interceptada por NetWork Miner
Y como puede verse, cuando se envía la localización, la imagen enviada queda visible, lo que se puede hacer única y exclusivamente porque la imagen se envía sin cifrar por la red, convirtiéndose en un nuevo leak de información. En el siguiente vídeo tenéis la demostración completa, por si quieres hacer la demo tú mismo.


Figura 3: Demostración con la captura de la localización en WhatsApp

Si quieres conectarte de forma segura a WhatsApp cuando te conectas a una redWiFi, lo mejor es que lo hagas a través de una conexión VPN, para evitar que cualquiera de estas fugas te afecte. Evita el uso de redes WiFi que no sean tuyas, y recuerda que en terminales Android se lanzó una versión de WhatsApp que podría dejar que alguien usando un enlace a un servidor malicioso averiguase tu dirección IP y dónde estás con las opciones de previsualización, así que asegúrate de que tienes una versión actualizada.
About these ads

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s