Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/12/2012
Encara és possible el robatori d'identitat amb l'última versió de WhatsApp
Els últims canvis realitzats a WhatsApp, el popular client de missatgeria que està substituint els SMS, no han aconseguit assegurar adequadament el sistema, almenys per a usuaris Android.
En proves realitzades per Heise Security, es va demostrar que encara és possible robar un compte sense que l’usuari se n'adone i enviar i rebre missatges fent-se passar per la víctima, sense que esta se n'adone.
Fa uns mesos, WhatsApp va deixar de transmetre els missatges dels usuaris en text pla. Açò va suposar una millora, ja que ferramentes com WhatsApp Sniffer van deixar de funcionar. Però en poques setmanes va quedar patent que esta millora no suposava una protecció addicional, pels mètodes utilitzats per WhatsApp per a generar les contrasenyes dels usuaris (l’MEI del dispositiu en Android i la MAC de la WiFi en iOS ). Com les contrasenyes són fàcils d’obtindre, la llibreria WhatsAPI s’ha adaptat ràpidament per a utilitzar esta informació i permetre robar un compte d’usuari.
Fa dos setmanes es va notar un canvi en els servidors de WhatsApp, ja que els clients web que utilitzaven la llibreria WhatsAPI havien deixat de funcionar. Açò va portar als usuaris a assumir que WhatsApp havia, finalment, assegurat adequadament el servici. Esta dada no es va poder confirmar ja que la companyia confia en la seguretat per foscor i no publica informació sobre els canvis interns en l’aplicació.
En este cas, la seguretat per foscor no va durar molt, ja que en pocs dies es va publicar un pedaç que feia funcionar WhatsAPI de nou i permet el robatori d’usuaris Android de l’aplicació. No obstant això, la nova versió sembla no funcionar amb usuaris iOS.
Més informació en The H Online.