Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
agosto
(Total:
13
)
- Joven de 16 años logró hackear 90GB datos de Apple
- Descubren backdoor que activa Modo Dios en antiguo...
- FakesApp permite manipular mensajes enviados por W...
- Alertan nueva nueva campaña de phishing haciéndos...
- Acusado de robar más de 5 millones de dólares en B...
- Ejecución remota en múltiples impresoras HP
- Expuestos datos médicos de 2 millones de Méxicanos
- Nuevo método de ataque en redes Wifi WPA/WPA2 PSK ...
- Alertan de los peligros de utilizar un puerto USB ...
- 200 mil routers MikroTik infectados para minar Cri...
- 11 millones de usuarios espiados gracias a estas A...
- Incidente de seguridad en Reddit por utilizar 2FA ...
- Autor ransomware SamSam ha ganado casi 6 millones ...
-
▼
agosto
(Total:
13
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
FakesApp permite manipular mensajes enviados por WhatsApp Web
domingo, 12 de agosto de 2018
|
Publicado por
el-brujo
|
Editar entrada
La firma de seguridad Check Point Research ha encontrado una
vulnerabilidad llamada FakesApp en el intercambio de información entre WhatsApp y su versión web podría permitir interceptar y modificar mensajes enviados
por WhatsApp. No han roto su cifrado, pero pueden manipular conversaciones usando el sistema de respuestas. La clave pública se puede obtener en la fase de generación de claves de WhatsApp Web antes de generar el código QR y, posteriormente, se toma el parámetro “secret” que envía el teléfono móvil a WhatsApp Web mientras el usuario escanea el código QR y ya se tienen la clave pública y privada de la sesión de WhatsApp.
Desde principios de 2018, la aplicación de mensajería propiedad de Facebook, WhatsApp, cuenta con más de 1.500 millones de usuarios, con más de 1.000 millones de grupos y 65.000 millones de mensajes enviados cada día. El gran uso de la aplicación hace que el potencial de estafas en línea, rumores y noticias falsas sea enorme.
Los mensajes originales no se pueden modificar, pero los usuarios dan por hecho que las citas los replican con fidelidad, así que se puede usar FakesApp para hacer que otras personas manden textos que, en realidad, no escribieron.
Dikla Barda, Roman Zaikin y Oded Vanunu, tres investigadores de CheckPoint, pusieron su punto de mira precisamente en este proceso de cifrado. Lo que encontraron es que WhatsApp utiliza protobuf2 (un mecanismo de serialización de Google) para el cifrado de mensajes.
Los investigadores afirmaron que les llamó la atención el cifrado usado por WhatsApp, y trataron de hacerle ingeniería inversa. Así, después de descifrarlo descubrieron que WhatsApp usa el protocolo protobuf2. Después, pasaron los datos de protobuf 2 a JSON para ver los parámetros que se envían y manipularlos.
Los investigadores aprovecharon el intercambio de claves que se produce al iniciar WhatsApp Web, y capturaron los parámetros que se pasan durante la lectura del código QR generado para obtener toda la información necesaria para el descrifrado de mensajes.
Antes de generar el código QR, WhatsApp Web genera es una clave pública y privada que se utiliza para cifrado y descifrado.
Los mensajes contienen, entre otros parámetros:
La vulnerabilidad fue reportada al equipo de WhatsApp, aunque no parece haber respuesta del mismo. La extensión de Burp Suite puede encontrarse en este repositorio de Github:
Vídeo demostración:
Fuentes:
https://unaaldia.hispasec.com/2018/08/poniendo-palabras-en-boca-de-otros-con.html
Desde principios de 2018, la aplicación de mensajería propiedad de Facebook, WhatsApp, cuenta con más de 1.500 millones de usuarios, con más de 1.000 millones de grupos y 65.000 millones de mensajes enviados cada día. El gran uso de la aplicación hace que el potencial de estafas en línea, rumores y noticias falsas sea enorme.
El cifrado "end-to-end" de WhatsApp es seguro
El cifrado de punto a punto de WhatsApp se base en el protocolo de Open Whisper Systems. Está empresa creo la aplicación Signal de la que Snowden recomendaba su uso. Pero el cifrado de WhatsApp no se basa tanto en Signal como creemos, la empresa Open Whisper Systems comentó que el cifrado se basaría en el de TextSecure que un servicio que utiliza una clave de cifrado única para cada dispositivo.Los mensajes originales no se pueden modificar, pero los usuarios dan por hecho que las citas los replican con fidelidad, así que se puede usar FakesApp para hacer que otras personas manden textos que, en realidad, no escribieron.
Dikla Barda, Roman Zaikin y Oded Vanunu, tres investigadores de CheckPoint, pusieron su punto de mira precisamente en este proceso de cifrado. Lo que encontraron es que WhatsApp utiliza protobuf2 (un mecanismo de serialización de Google) para el cifrado de mensajes.
Los investigadores afirmaron que les llamó la atención el cifrado usado por WhatsApp, y trataron de hacerle ingeniería inversa. Así, después de descifrarlo descubrieron que WhatsApp usa el protocolo protobuf2. Después, pasaron los datos de protobuf 2 a JSON para ver los parámetros que se envían y manipularlos.
Los investigadores aprovecharon el intercambio de claves que se produce al iniciar WhatsApp Web, y capturaron los parámetros que se pasan durante la lectura del código QR generado para obtener toda la información necesaria para el descrifrado de mensajes.
Antes de generar el código QR, WhatsApp Web genera es una clave pública y privada que se utiliza para cifrado y descifrado.
Los mensajes contienen, entre otros parámetros:
- conversation: El contenido del mensaje.
- participant: Miembro del grupo que manda el mensaje.
- fromMe: Si el mensaje ha sido enviado por el propio usuario.
- remoteJid: Contanto o grupo al que se en vía el mensaje.
- id: Identificador de los datos tal como se almacena en la base de datos interna.
- Cambiar la identidad del emisor de un mensaje en un grupo, incluso no siendo miembro del mismo: En este caso, se puede manipular el campo "participant" a un usuario o un teléfono.
- Cambiar la respuesta de alguien: En este caso, se crea una respuesta ficticia en un chat, lo que permite escribir mensajes en chats propios haciéndose pasar por el interlocutor. Esto pued ser usado para "poner palabras en boca de otros".
- Mandar mensajes "trampa": Mandar un mensaje a un grupo que solo verá uno de los miembros. En este caso, se manipula la base de datos de mensajes guardada en ‘/data/data/com.whatsapp/databases/msgstore.db Es especialmente útil para realizar ingeniería social y hacer que un miembro del grupo revele secretos.
La vulnerabilidad fue reportada al equipo de WhatsApp, aunque no parece haber respuesta del mismo. La extensión de Burp Suite puede encontrarse en este repositorio de Github:
Vídeo demostración:
Fuentes:
https://unaaldia.hispasec.com/2018/08/poniendo-palabras-en-boca-de-otros-con.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.