domingo, 20 de abril de 2014

A vueltas con la localización: Viber, WhatsApp y sus leaks


Continuando con los últimos errores descubiertos en la aplicación de WhatsApp, unos unos investigadores de la Universidad de New Hampshire han detallado paso por paso el procedimiento que realizada WhatsApp cada vez que compartimos una ubicación, mostrando que al compartir una ubicación entre dos usuarios, la aplicación necesita en primer lugar ubicarlos en Google Maps dentro de una ventana de la propia aplicación.

WhatsApp obtiene la ubicación y miniaturiza una imagen del propio Google Maps para compartirlo como el icono del mensaje, pero desafortunadamente WhatsApp descarga esta imagen a través de un canal no seguro, sin utilizar SSL, lo cual implica que podría ser descubierto durante un ataque man-in-the-middle:

Este mismo error también lo comete la gente de Viber. Durante nuestra charla de WhatsApp: mentiras y cintas de vídeo, que mostramos Pablo y yo en RootedCON 2014, mostramos que también era posible capturar los datos de localización y los ficheros que se comparten entre dos usuarios, debido a que se envían en claro sin utilizar ningún canal seguro.

Esto, de la misma forma que en el caso de WhatsApp, nos permitiría interceptar esta información con un sencillo ataque man-in-the-middle o utilizando un Rogue AP:

Si queréis conocer más detalles del funcionamiento de este tipo de ataques y el funcionamiento interno de aplicaciones como Viber, Snapchat, WhatsApp o cualquier otra mensajería, os recomiendo echar un vistazo a las diapositivas de nuestra charla: