27 de octubre de 2022

Alguien te puede estar mandando mensajes en WhatsApp sólo para calcular dónde estás: la clave reside en el 'tick' azul

Alguien te puede estar mandando mensajes en WhatsApp sólo para calcular dónde estás: la clave reside en el 'tick' azul

Una de las ventajas de WhatsApp (y otras aplicaciones de mensajería) frente a los SMS o los e-mails son sus famosos 'ticks azules', el símbolo que permite saber si cada mensaje enviado ha sido recibido y leído por el destinatario. Pero la misma tecnología que permite a WhatsApp ofrecer esta pequeña funcionalidad tan valorada por los usuarios también es la que ha generado un agujero de seguridad que facilita que la aplicación 'nos chive' la geolocalización del destinatario del mensaje. ¿Cómo es eso posible?

Un equipo de investigadores ha descubierto (PDF del paper académico) que es posible inferir la ubicación de otro usuario de WhatsApp con una precisión que puede llegar a superar el 80%. Y todo se basa en medir el tiempo que tarda el atacante (el emisor) en recibir la notificación de estado de entrega de un mensaje remitido al objetivo (el destinatario).

Así lo han logrado

Debido a que tanto las redes de Internet móvil como la infraestructura de los servidores de cada app de mensajería instantánea tienen características físicas específicas que dan como resultado patrones en el envío de mensajes, cada notificación tiene un retraso predecible que revela la posición del usuario.

Si, con antelación al ataque, se realiza una fase previa de mapeo, enviando mensajes a varias localizaciones ya conocidas, es posible calcular posteriormente una localización desconocida enviando mensajes al objetivo y midiendo el tiempo necesario para recibir las notificaciones de entrega.

Cuanto mayor sea el conjunto de datos recopilados durante la fase de mapeo, y si se envían suficientes mensajes al atacado (que no debe sospechar de nuestro intercambio de mensajes, pues de lo contrario nos bloquearía), es posible calcular con gran precisión su localización a lo largo del día. Esto podría tener consecuencias graves en la vida real, pues permite reconstruir la rutina del objetivo.

Por supuesto, este método requiere una gran precisión al calcular el plazo de tiempo entre envío y recepción, por lo que exige al atacante utilizar una aplicación de captura de paquetes (como Wireshark) para analizar su propio tráfico TCP y extraer información exacta de los plazos.

Curiosamente, la precisión que permite esta técnica era ligeramente mayor en aplicaciones que se venden como 'seguras' (Signal y Threema, con un 82% y un 80%, respectivamente, aunque Threema ya ha tomado medidas para solventarlo) que en WhatsApp (74%), pero en cualquier caso representa un riesgo potencial para cualquiera de los 2.000 millones de usuarios de esta última.

Hacksapp
Que tu 'crush' lleve toda la tarde mandándote mensajes puede no significar lo que crees...

Tomando medidas

Una solución para evitar ser víctima de esta técnica de vigilancia radica, sencillamente, en que el usuario deshabilite la función de notificación, ocultando la recepción y lectura de los mensajes. Otra alternativa es que los desarrolladores de las aplicaciones implementen un sistema capaz de aleatorizar los tiempos de confirmación de entrega.

Por último, otra solución radicaría en instalar y activar una red privada virtual (VPN) en nuestro dispositivo móvil para aumentar la latencia y ofuscar los datos de ubicación. Si, además, la aplicación cambia intermitentemente entre servidores ubicados en distintos puntos, eso aumentaría la variabilidad en los tiempos de respuesta.

Desde Genbeta nos hemos puesto en contacto con WhatsApp y nos haremos eco de cualquier aclaración al respecto de esta vulnerabilidad.

Imagen | Basada en original creada con Stable Diffusion

-
La noticia Alguien te puede estar mandando mensajes en WhatsApp sólo para calcular dónde estás: la clave reside en el 'tick' azul fue publicada originalmente en Genbeta por Marcos Merino .



☞ El artículo completo original de Marcos Merino lo puedes ver aquí

No hay comentarios.:

Publicar un comentario