Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/12/2012
Todavía es posible el robo de identidad con la última versión de WhatsApp
Los últimos cambios realizados a WhatsApp, el popular cliente de mensajería que está sustituyendo los SMS, no han conseguido securizar adecuadamente el sistema, al menos para usuarios Android.
En pruebas realizadas por Heise Security, se demostró que aún es posible robar una cuenta sin que el usuario se de cuenta y enviar y recibir mensajes haciéndose pasar por la víctima, sin que esta se de cuenta.
Hace unos meses, WhatsApp dejó de transmitir los mensajes de los usuarios en texto plano. Esto supuso una mejora, ya que herramientas como WhatsApp Sniffer dejaron de funcionar. Pero en pocas semanas quedó patente que esta mejora no suponía una protección adicional, por los métodos utilizados por WhatsApp para generar las contraseñas de los usuarios (el IMEI del dispositivo en Android y la MAC de la WiFi en iOS). Como las contraseñas son fáciles de obtener, la librería WhatsAPI se ha adaptado rápidamente para utilizar esta información y permitir robar una cuenta de usuario.
Hace dos semanas se notó un cambio en los servidores de WhatsApp, ya que los clientes web que utilizaban la librería WhatsAPI habían dejado de funcionar. Esto llevó a los usuarios a asumir que WhatsApp había, finalmente, securizado adecuadamente el servicio. Este dato no se pudo confirmar ya que la compañía confía en la seguridad por oscuridad y no publica información sobre los cambios internos en la aplicación.
En este caso, la seguridad por oscuridad no duró mucho, ya que en pocos días se publicó un parche que hacía funcionar WhatsAPI de nuevo y permite el robo de usuarios Android de la aplicación. Sin embargo, la nueva versión parece no funcionar con usuarios iOS.
Más información en The H Online.