Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/03/2014
Qualsevol aplicació pot llegir les teues conversacions de WhatsApp
El títol que encapçala esta entrada és la conclusió a què han arribat dos germans després de comprovar per si mateixos que, efectivament, és possible. Bas Bosschert, administrador de sistemes i consultor, ha demostrat pas a pas com una aplicació pot ser desplegada per a robar la base de dades de WhatsApp.
Llegint la seua explicació, el procés pareix realment “senzill” per a algú amb nocions de programació. La clau està en que la base de dades de WhatsApp és emmagatzemada per defecte en la targeta SD dels terminals.
Si un usuari ho permet, qualsevol aplicació pot tindre permisos per a accedir a la SD, i com això ocorre la majoria de vegades, als germans Bosschert no els va paréixer massa complicat arribar fins a les dades fent una simulació.
Creant un App amb permisos d’accés a la SD, aconseguixen extraure les bases de dades i pujar-les a un servidor mentres que l’usuari només veu un “Carregant” en la pantalla, per la qual cosa tot ocorre en segon pla i de forma invisible.
Les aplicacions amb accés a la targeta SD poden robar les bases de dades de WhatsApp
Les bases de dades de WhatsApp eren SQLite3, sistema que pot ser convertit fàcilment a Excel per a la seua lectura. Encara que més tard han augmentat la seguretat, xifrant les bases, però no amb un simple script aconseguixen novament el seu objectiu, desxifrant-les.
En conclusió, segons les seues proves, qualsevol app maliciosa que ho desitge pot accedir i robar les dades de WhatsApp amb aparent facilitat.
Si ajuntem açò, amb una aplicació ultra popular que s’estenga per milions de dispositius en uns dies, com en el cas de Flappy Bird, la situació pot ser, com menys, curiosa. És esta una de les raons per les quals Google vol limitar l’accés a les SD per part de les Apps des de KitKat, com ja parlem en esta extensa entrada.
Més info i desenrotllament seguit pas a pas | Bas Bosschert