Un fallo de WhatsApp permite saber cuánto duermes y a quién le hablas

Software

WhatsApp es usada a diario por cientos de millones de personas, y es la aplicación de mensajería instantánea más extendida en España. Por ello, que se descubra una vulnerabilidad o fallo en ella pone en peligro a todos sus usuarios. Uno de los últimos fallos descubiertos permite conocer los hábitos de cualquier persona, como cuánto duermen y a quién le hablan.

Cualquier persona puede saber cuándo usas WhatsApp y a quién le hablas

Y es que este fallo puede aprovecharse por cualquier persona que tenga un portátil a mano, y tal y como está planteada la aplicación en la actualidad no se puede parchear. El fallo se aprovecha de la información mostrada sobre la conexión del usuario: última hora de conexión, y en línea. A pesar de que existe la posibilidad de esconder la última hora de conexión, el estado “en línea” no se puede esconder cuando utilizamos la aplicación, por lo que esa información va a estar siempre disponible para un posible atacante.

whatsapp-espia

Aunque en principio pueda parecer inofensivo que alguien pueda conocer nuestra última hora de conexión o cuándo estamos usando WhatsApp, esto en realidad muestra los patrones de uso de la app, y sobre todo cuándo nos acostamos porque WhatsApp es la última aplicación que se suele mirar antes de dormir, y la primera al despertar.

Un ingeniero llamado Rob Heaton es quién ha aprovechado estos datos para demostrar los usos maliciosos que se pueden hacer de ellos. Para esta demostración creó una extensión para Chrome (con apenas 4 líneas de Javascript) con el objetivo de registrar la actividad online de sus contactos de WhatsApp a través de la versión web. Esto puede hacerse manualmente por una persona para monitorizar a sus contactos (para ver si un amigo está hablando con la chica que te gusta, por ejemplo), o por un tercero para monitorizar la actividad de un usuario y la de sus contactos con una extensión maliciosa. El código de la extensión es:

setInterval(function() {

var lastSeen = $(‘.pane-header .chat-body .emojitext’).last().text();

console.log(Math.floor(Date.now() / 1000) + “, ” + lastSeen);

}, 1000);

Con varios mensajes y monitorización de contactos, es posible saber con alta correlación con quién está hablando

Juntando la hora de conexión de un usuario con la de sus contactos es posible determinar con quién está hablando el usuario. Por ejemplo, si un usuario se conecta y manda un mensaje, y al segundo el otro contacto se conecta, a través de varios mensajes es fácil determinar que esas dos personas están hablando entre sí.

Estos datos, de fácil obtención, pueden ser usados luego para todo tipo de fines. Por ejemplo, se puede hacer chantaje para determinar si una persona está hablando con una amante, o también se puede usar con fines publicitarios para ver si alguien tiene problemas de sueño para mostrarles publicidad de somníferos.

Este fallo no sólo afecta a WhatsApp, sino también a otras aplicaciones de mensajería como Messenger o Telegram.

Escrito por Alberto García

Fuente > Robert Heaton