WhatsApp es una aplicación cuyo éxito reside en convertirse en una gran base de datos de conversaciones a nivel mundial con más de 15 millones de clientes en España y que ha basado todo su funcionamiento en un entorno basado en Unix FREEBSD con servidores con 32GB de memoria y 24 CPUS y unos clusters para almacenar toda la información: Cuando enviamos un mensaje a alguién que no tiene conexión se almacena en sus servidores.
Antes de nada informar que cualquier aplicación que exista en el mercado aunque venga en un pack instalable binario sin el fuente, se puede descifrar,basta con desensamblar el código de la app para Android con las herramientas adecuadas para conseguir acceder al código en sí que permite el funcionamiento de la aplicación y de forma indirecta conocer el metodo (protocolo) por el que envía recibe todos los mensajes la aplicación: Aquí todas las aplicaciones del mercado son vulnerables, y si resulta que LINE,TU ME,SPOTBROS no han sido atacados es solo un tema de tiempo y por no ser suficientemente conocidos, no culpemos de todo a WHATSAPP.
En cuanto al protocolo de WhatsApp cuando se instala la app en nuestro móvil se valida el número de teléfono mediante un código y en dicha alta se remite el IMEI en Android y en Iphone la MAC del móvil (numero de serie de la tarjeta de red que no corresponde con el IMEI que es el numero de serie del móvil). Todo se basa por lo tanto en el número de teléfono y una clave que nunca cambia y que encima corresponde con un dato que alguién que coja nuestro móvil y teclee *#06# puede conseguir. Lo seguro sería que se generará una clave propia y que incluso se pudiera cambiar por parte del propio cliente desde un panel en la web de la empresa de la aplicación.
Cuando enviamos un mensaje a un cliente con el WhatsApp no se transmite la IP que empleamos ni el número de serie de nuestro telefono por lo que en principio sería imposible saber la clave de nuestro whatsapp para poder suplantarlo. Sin embargo salvo que tengan acceso a nuestro whatsapp y en cuyo caso puedan recibir nuestras conversaciones e incluso hablar por nosotros, no es todo tan imposible como se cree. Y esto es debido a que si enviamos una imagen a un cliente o un sonido, el protocolo de WhatsApp es vulnerable y por compatibilidad envia la dirección web (URL) de dónde descargar el contenido.
Eso significa que si recibimos una imagen de un desconocido y la abrimos a partir de ahí el que hizo el envió podrá la IP de dónde lo descargamos si envia una URL bajo su control e incluso recibirá el navegador que usamos y el modelo de móvil que tenemos. Existen en el mercado bases de datos que permiten obtener el formato que tienen los IMEI (15 digitos) según el modelo de móvil que tengamos y por ello, conociendo el modelo de móvil se puede evitar probar los IMEI de 15-17 digitos y dejarlo en una cantidad muy menor por lo que finalmente solo con enviar una imagen podrían descubrir el número de serie del móvil IMEI y suplantar nuestro WhatsApp. En el caso de Iphone el asunto es más complejo aunque según parece podría haber una base de datos que relaciona IMEI y MAC por lo que la seguridad no es del todo clara.
En mi opinión se debe mejorar sin duda el protocolo del WhatsApp y en una próxima actualización podrían implementar la lógica de una clave negociada por protocolo encriptado que se configure en el propio terminal y así evitar este tipo de ataques. Con todo lo que hablan de WhatsApp la competencia saca nuevas aplicaciones y algunas ofrecen mejoras interesantes aunque es difícil hacer la competencia a una marca tan conocida a nivel mundial.
Enlaces: WhatsApp status twitter
