WhatsApp y el «leak» del PIN de Verificación en 2-Pasos
Este «leak» del que os voy a hablar ahora mismo os lo publico porque Mi Hacker 2.0 se dio cuenta de él y me lo contó. Parece que años haciendo demos con ella con leaks de WhatsApp le ha agudizado estar atenta a estas cosas, y éste en concreto me lo contó ella ayer mismo cuando se dio cuenta.
Figura 1: WhatsApp y el «leak» del PIN de Verificación en 2-Pasos
El «leak» es una pequeña fuga de privacidad, similar a la que os conté tiempo atrás – y que me sirvió para ganarme una felicitación del equipo de WhatsApp y unos regalitos -. En aquel entonces el «leak» permitía saltarse el Face ScreenLock que evitaba que alguien pudiera ver los mensajes aprovechando un descuido para acceder a tu app de WhatsApp.
De todos bugs, leaks, y técnicas de hacking, hemos sacado un libro que las va a recolectando todas, porque al final es una fuente de investigación más. El libro se llama «WhatsApp INT: OSINT en WhatsApp» de Luis Márquez en 0xWord.
Figura 3: WhatsApp INT: OSINT en WhatsApp.
Nuevo libro de Luis Márquez en 0xWord.
El «leak» de hoy es también una medida de seguridad diseñada también para evitar el tipo de intromisiones en tu privacidad, similar a hacer un Screen Lock en WhatsApp. Es el PIN de Verificación en 2-Pasos que sale de vez en cuando para evitar que te manipulen la cuenta.
Figura 4: Bloqueo de WhatsApp hasta que se introduzca
el PIN de Verificación en 2-Pasos
Esta medida de seguridad no es una medida de privacidad total, porque no sale siempre, solo de vez en cuando. Pero cuando sale esta pantalla, se supone que WhatsApp queda bloqueado hasta que se desbloquea la app. Pero no es así. Como se puede ver en esta imagen, llevando la app a miniatura haciendo un gesto de desplazar la app hacia arriba, se puede ver la pantalla reducida de WhatsApp con todos los mensajes.
Figura 5: Miniatura de la app de WhastApp
pierde la protección del PIN de Verificación de 2-pasos
Y no es una pantalla estática, sino que es la app en miniatura, así que como podéis ver en la siguiente imagen, se ve que yo estoy «Typing» y se puede ver en la miniatura también. Es decir, se puede ver todo lo que salga en el interfaz de usuario de WhatsApp, sin que se introduzca el PIN de Verificación en 2-Pasos.
Figura 6: Está «viva»… y se ven «Typing»
Por supuesto, cuando el mensaje llega, o si hay alertas in-app, estas también se pueden leer, con lo que la protección del PIN de Verificación en 2-Pasos, es para evitar que alguien te manipule la cuenta o envíe mensajes desde la app, pero no evita que te puedan leer los mensajes.
Figura 7: Se ven los nuevos mensajes
El paso a paso para que pruebes el «leak» del PIN de Verificación en 2-Pasos es muy sencillo, cuando te salga, sube para arriba la app para que se quede en miniatura, y mándate desde otra app de WhatsApp algún mensaje, verás como se actualiza.
Figura 8: WhatsApp y el «leak» del PIN de Verificación
en 2-Pasos step by step
Al final, es un «leak» de privacidad curioso, porque lo esperado sería que en la miniatura saliera el UX de WhatsApp con la pantalla solicitando el PIN de Verificación en 2-Pasos, y no es así. Un comportamiento extraño y contra-intuitivo para ser una medida de seguridad y privacidad.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Powered by WPeMatico
