Una grave vulnerabilidad de WhatsApp permite obtener nuestra localización

Escrito por Jorge Calderón
Software

Si estás utilizando WhatsApp para chatear con tus amigos o familia y utilizas la opción de compartir tu ubicación, ten cuidado porque se ha descubierto una vulnerabilidad que podría dejar al descubierto nuestra localización a hackers y agencias de espionaje mediante la interceptación de la imagen de la ubicación.

La comunicación de WhatsApp entre el teléfono y el servidor de la compañía norteamericana está cifrada con SSL, lo que quiere decir que lo que compartimos con quien nos comunicamos está asegurado a prueba de ataques man-in-the-middle. Este tipo de ataques se utiliza para poder intervenir la conversación y leer, insertar o modificar los mensajes. Por suerte, esto es muy difícil que ocurra, pero ahora se ha descubierto una vulnerabilidad grave en el sistema de mensajería instantánea más popular del momento que podría exponer nuestra ubicación a los ojos de hackers o agencias de espionaje.

Ataque man-in-the-middle

Según unos investigadores del grupo Cyber Forensics Research & Education, de la Universidad de New Haven, el servicio que nos permite compartir nuestra localización en WhatsApp podría exponer nuestra ubicación a hackers y agencias de espionaje debido a una vulnerabilidad. Al compartir nuestra ubicación, lo primero que necesita hacer la aplicación es realizar la localización en Google Maps. Una vez seleccionada, WhatsApp obtiene la ubicación y las imágenes en miniatura del servicio de mapas de Google para compartirlo como icono del mensaje, pero lo que hace el servicio de mensajería es descargar esta imagen a través de un canal no cifrado de Google que podría ser utilizado para hacer un ataque man-in-the-middle como se puede ver en el video. Por lo tanto, el principal problema es que la imagen de la ubicación está sin cifrar, dejándola abierta para una posible interceptación.

Pronto habrá un parche

Los investigadores ya han informado de este error a WhatsApp y ya lo han solucionado en la última versión beta de la aplicación que está disponible para su descarga en la web oficial del servicio de mensajería. Los desarrolladores de la aplicación han reconocido la vulnerabilidad y señalan que pronto habrá una solución para el público en general mediante una actualización de la aplicación para cada sistema operativo. La compañía recomienda, mientras tanto, no compartir la ubicación cuando nos conectamos a una red WiFi pública o desconocida, hasta que el parche no sea lanzado.

Las alternativas a WhatsApp más seguras

Está vulnerabilidad no es la última descubierta en WhatsApp y la preocupación por la seguridad de la aplicación de mensajería más utilizada sigue creciendo. Hace unas semanas repasábamos algunas de las alternativas a WhatsApp que implementan cifrado punto a punto, lo que se traduce en una mayor seguridad. Surespot, Treeema, TextSecure, RedPhone o Telegram son algunas de estas aplicaciones que nos pueden servir si queremos tener una alternativa a WhatsApp.

Fuente > The Hacker News

Continúa leyendo
Comentarios
15 comentarios
  1. Anónimo
    Usuario no registrado
    16 Abr, 14 1:21 pm

    para las agencias de espionaje, no hace falta que busquéis,… ahora mismo, estoy en el water, me ha dado un apretón…

    como si no supieran donde estamos geolocalizados…!!!

    1. Anónimo
      Usuario no registrado
      16 Abr, 14 5:10 pm

      No entiendo que importancia tiene esto, si google lo hace solo sin necesidad de bug ninguno. Si no leemos bien claro las aplicaciones de google, en concreto de gmail dice esto o algo parecido.
      (permito a gogle inc..etc… a recoger datos de geolocalizacion y datos de los propios email, incluido lo que esta escrito en el mensaje… etc…)

  2. miguel018 16 Abr, 14 1:50 pm

    Esta noticia. Salio hace tiempo en Redeszone. Por lo tanto ustedes la están repitiendo, Pero a pesar del tiempo 1 o 2 meses, Whatsapp tarda meses en subir sus actualizaciones a google play. Y aun si sigue sin corregir dicho fallo de seguridad

    1. Claudio Valero 16 Abr, 14 3:16 pm

      Me puedes indicar el enlace de RedesZone por favor? He estado revisando y no la encuentro. Gracias

      1. miguel018 17 Abr, 14 11:41 am

        Puede que me haya confundido con una noticia relacionada, Puesto que yo tampoco lo encuentro, Pido disculpas por ello. Pero creo recordar que ya ley esta noticia en alguna de vuestras paginas web pero quizás me confundí, Nuevamente pido disculpas

  3. Anónimo
    Usuario no registrado
    16 Abr, 14 3:07 pm

    yo soy demasiado feo como para poner foto de ubicacion

  4. Anónimo
    Usuario no registrado
    16 Abr, 14 3:26 pm

    ¿Qué es eso de que una conexion SSL impide un ataque man in the middle?. No sé si sabrás en que consiste el ataque, pero basicamente (en PCs) es mandar paquetes ARP modificados para que la maquina victima actualice sus tablas ARP (con las que traduce de ip a mac) para hacerle cree que tu eres el router por ejemplo y asi hacer pasar tu el trafico por tu maquina y ya dirigirlo al router, asi podiendolo monitorizar. SSL lo que “impide” es que el contenido en las solicitudes vaya en claro, pero si crees que esto es seguro es porque no conoces SSLstrip. En el caso de los moviles, creo que concretamente lo que se suele hacer es crear un punto de acceso falso y darle servicio con tu conexión. ¿Me puedes explicar como una comunicacion SSL (que necesita conexion a internet) evita el man in the middle en este caso?

    Insisto, que no puedas ver el contenido cifrado no quiere decir que el ataque man in the middle no haya funcionado. Pues ese ataque lo unico que hace es situarte en el medio para poder monitorizar las comunicaciones. Lo demás que hagas son otros ataques.

  5. Anónimo
    Usuario no registrado
    16 Abr, 14 5:14 pm

    Whatsapp, que es eso?, pero si ya no lo usa nadie, ¿a quien van a espiar? a dos tres, porque otra cosa.

    1. Anónimo
      Usuario no registrado
      16 Abr, 14 8:05 pm

      no es tan grave eso, la mayoria de veces eso de usa fuera del hogar por 3g, ademas aunque lo uses en una wifi normal que sepan donde estas

    2. Anónimo
      Usuario no registrado
      17 Abr, 14 12:18 am

      Whatsapp es esa app de mensajería que tienen todos tus amigos, familiares, conocidos … Tú no te enteras porque vas de cool y de listo usando una app molona para mandar mensajes solo a tu perro, tu único contacto.
      Ahora vas y lo cascas, salao.

  6. Anónimo
    Usuario no registrado
    17 Abr, 14 2:11 am

    Dios mio.

    No me digáis que van a saber que mando chistes a mis contactos.
    Oh Dios!!!!!!!!!!!!!

  7. Anónimo
    Usuario no registrado
    17 Abr, 14 7:31 am

    no veo la necesidad de compartir ubicación con nadie.

  8. Anónimo
    Usuario no registrado
    18 Abr, 14 4:11 pm

    jajjajajja me la pela la verdad….uh uh una agencia de espionaje quiere localizarme….voy tener que mudarme antes q vngan a por mí…. ¬¬

  9. Anónimo
    Usuario no registrado
    18 Abr, 14 6:34 pm

    Por mucho que borreis mensajes no vais a tener razon…

    Os documentais fatal y hablais de cosas que no entendeis.. el bug al que haceis referencia está solucionado desde el pasado dia 7 y afectaba a cualquier servicio que emplease SSL/TLS (line, telegram, facebook, twitter…)

    Como dije en el comentario que habeis borrado, os encanta alarmar a la gente y si de paso podeis perjudicar a whatsapp mejor que mejor.

    Os recomiendo que os mireis eso que se os ve el plumero ya demasiado en vuestra lucha contra whatsapp.