Seguridad

Poniendo palabras en boca de otros con FakesApp

Una vulnerabilidad encontrada por investigadores de CheckPoint en el intercambio de información entre WhatsApp y su versión web podría permitir interceptar y manipular mensajes al usuario.


Basado en un icono hecho por Freepik en www.flaticon.com 


Los habituales de “Una-al-día” saben que cuando WhatsApp aparece por aquí no es para nada bueno. La aplicación siempre ha estado ligada a la falta de seguridad en las comunicaciones, y parecía que con la inclusión del cifrado punto a punto esto podía cambiar.

Dikla Barda, Roman Zaikin y Oded Vanunu, tres investigadores de CheckPoint, pusieron su punto de mira precisamente en este proceso de cifrado. Lo que encontraron es que WhatsApp utiliza protobuf2 (un mecanismo de serialización de Google) para el cifrado de mensajes.

Los investigadores aprovecharon el intercambio de claves que se produce al iniciar WhatsApp Web, y capturaron los parámetros que se pasan durante la lectura del código QR generado para obtener toda la información necesaria para el descrifrado de mensajes.

Los mensajes contienen, entre otros parámetros:

  • conversation: El contenido del mensaje.
  • participant: Miembro del grupo que manda el mensaje.
  • fromMe: Si el mensaje ha sido enviado por el propio usuario.
  • remoteJid: Contanto o grupo al que se en vía el mensaje.
  • id: Identificador de los datos tal como se almacena en la base de datos interna.

Basándose en este estudio y en la manipulación de estos campos, el equipo ha desarrollado una extensión para BurpSuite que es capaz de capturar, descifrar y modificar mensajes de WhatsApp. Esta extensión permite tres tipos de ataque:



  1. Cambiar la identidad del emisor de un mensaje en un grupo, incluso no siendo miembro del mismo: En este caso, se puede manipular el campo “participant” a un usuario o un teléfono.
  2. Cambiar la respuesta de alguien: En este caso, se crea una respuesta ficticia en un chat, lo que permite escribir mensajes en chats propios haciéndose pasar por el interlocutor. Esto pued ser usado para “poner palabras en boca de otros”.
  3. Mandar mensajes “trampa”: Mandar un mensaje a un grupo que solo verá uno de los miembros. En este caso, se manipula la base de datos de mensajes. Es especialmente útil para realizar ingeniería social y hacer que un miembro del grupo revele secretos.
La vulnerabilidad fue reportada al equipo de WhatsApp, aunque no parece haber respuesta del mismo. La extensión de Burp Suite puede encontrarse en este repositorio de Github.

Francisco López
flopez@hispasec.com

Más información:

FakesApp: A Vulnerability in WhatsApp:
https://research.checkpoint.com/fakesapp-a-vulnerability-in-whatsapp/






Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.