Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Es posible saber la ubicación en app's de mensajería gracias al check de recibido y entregado


Una de las ventajas de WhatsApp (y otras aplicaciones de mensajería) frente a los SMS o los e-mails son sus famosos 'ticks azules', el símbolo que permite saber si cada mensaje enviado ha sido recibido y leído por el destinatario. Pero la misma tecnología que permite a WhatsApp ofrecer esta pequeña funcionalidad tan valorada por los usuarios también es la que ha generado un agujero de seguridad que facilita que la aplicación 'nos chive' la geolocalización del destinatario del mensaje. ¿Cómo es eso posible?


Un equipo de investigadores ha descubierto (PDF del paper académico) que es posible inferir la ubicación de otro usuario de WhatsApp con una precisión que puede llegar a superar el 80%. Y todo se basa en medir el tiempo que tarda el atacante (el emisor) en recibir la notificación de estado de entrega de un mensaje remitido al objetivo (el destinatario).

Debido a que tanto las redes de Internet móvil como la infraestructura de los servidores de cada app de mensajería instantánea tienen características físicas específicas que dan como resultado patrones en el envío de mensajes, cada notificación tiene un retraso predecible que revela la posición del usuario.

Si, con antelación al ataque, se realiza una fase previa de mapeo, enviando mensajes a varias localizaciones ya conocidas, es posible calcular posteriormente una localización desconocida enviando mensajes al objetivo y midiendo el tiempo necesario para recibir las notificaciones de entrega. 



Cuanto mayor sea el conjunto de datos recopilados durante la fase de mapeo, y si se envían suficientes mensajes al atacado (que no debe sospechar de nuestro intercambio de mensajes, pues de lo contrario nos bloquearía), es posible calcular con gran precisión su localización a lo largo del día. Esto podría tener consecuencias graves en la vida real, pues permite reconstruir la rutina del objetivo.

Por supuesto, este método requiere una gran precisión al calcular el plazo de tiempo entre envío y recepción, por lo que exige al atacante utilizar una aplicación de captura de paquetes (como Wireshark) para analizar su propio tráfico TCP y extraer información exacta de los plazos.

Curiosamente, la precisión que permite esta técnica era ligeramente mayor en aplicaciones que se venden como 'seguras' (Signal y Threema, con un 82% y un 80%, respectivamente, aunque Threema ya ha tomado medidas para solventarlo) que en WhatsApp (74%), pero en cualquier caso representa un riesgo potencial para cualquiera de los 2.000 millones de usuarios de esta última.


Soluciones

Una solución para evitar ser víctima de esta técnica de vigilancia radica, sencillamente, en que el usuario deshabilite la función de notificación, ocultando la recepción y lectura de los mensajes. Otra alternativa es que los desarrolladores de las aplicaciones implementen un sistema capaz de aleatorizar los tiempos de confirmación de entrega.

Por último, otra solución radicaría en instalar y activar una red privada virtual (VPN) en nuestro dispositivo móvil para aumentar la latencia y ofuscar los datos de ubicación. Si, además, la aplicación cambia intermitentemente entre servidores ubicados en distintos puntos, eso aumentaría la variabilidad en los tiempos de respuesta.

Fuentes:

https://www.genbeta.com/seguridad/alguien-te-puede-estar-mandando-mensajes-whatsapp-solo-para-calcular-donde-estas-clave-reside-tick-azul


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.