Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/03/2014
Llegint la seua explicació, el procés pareix realment “senzill” per a algú amb nocions de programació. La clau està en que la base de dades de WhatsApp és emmagatzemada per defecte en la targeta SD dels terminals.
Si un usuari ho permet, qualsevol aplicació pot tindre permisos per a accedir a la SD, i com això ocorre la majoria de vegades, als germans Bosschert no els va paréixer massa complicat arribar fins a les dades fent una simulació.
Creant un App amb permisos d’accés a la SD, aconseguixen extraure les bases de dades i pujar-les a un servidor mentres que l’usuari només veu un “Carregant” en la pantalla, per la qual cosa tot ocorre en segon pla i de forma invisible.
Les aplicacions amb accés a la targeta SD poden robar les bases de dades de WhatsApp
Les bases de dades de WhatsApp eren SQLite3, sistema que pot ser convertit fàcilment a Excel per a la seua lectura. Encara que més tard han augmentat la seguretat, xifrant les bases, però no amb un simple script aconseguixen novament el seu objectiu, desxifrant-les.
En conclusió, segons les seues proves, qualsevol app maliciosa que ho desitge pot accedir i robar les dades de WhatsApp amb aparent facilitat.
Si ajuntem açò, amb una aplicació ultra popular que s’estenga per milions de dispositius en uns dies, com en el cas de Flappy Bird, la situació pot ser, com menys, curiosa. És esta una de les raons per les quals Google vol limitar l’accés a les SD per part de les Apps des de KitKat, com ja parlem en esta extensa entrada.
Més info i desenrotllament seguit pas a pas | Bas Bosschert