Professional Documents
Culture Documents
parece bastante peligroso que una persona pueda saber por qu direccin IP otra persona est
conectndose a WhatsApp. Viendo el inters que el mundo tiene en la seguridad de WhatsApp y
su privacidad tanto en cmo espiar WhatsApp, esta es una caracterstica peligrosa que atenta
contra la privacidad de las personas, as que lo mejor es que la deshabilites.
El estudio de este fallo lo publicaron Luis Delgado y Ferran Pichel en Security By Default, no
solo para aprovechar esta caracterstica con el fin de localizar la direccin IP de una persona,
sino como fallo de seguridad que provocaba unaDenegacin de Servicio en la app, adems de
poder generar un consumo no controlado de recursos.
El problema de se seguridad radica en que por defecto en las nuevas versiones
deWhtasApp para Android - en iPhone an no se ha introducido esa caracterstica -, la
aplicacin muestra una imagen de previsualizacin de cualquier URL que ha sido enviada como
mensaje de chat en WhatsApp.
Figura 2: Pgina PHP en servidor web con img a servidor web que controla los accesos a la imagen
Enviando por mensaje una URL de un sitio web que tenga una imagen que sea incluida desde un
servidor web controlado, fuerza al cliente de WhatsApp para Android a hacer una peticin al
servidor web para descargarse la imagen. En esa peticin se puede ver la direccin IP desde la
que el cliente de WhatsApp para Android, es decir, el mvil de la persona que est detrs de un
nmero de telfono, se est conectando.
La ubicacin geogrfica de las direcciones IP no funciona extremadamente bien y puede que
salgan cosas dispares a veces, pero puede suponer un riesgo para la privacidad de una persona en
muchos casos en los que s que se puede geo-posicionar ms o menos correctamente dicha
direccin IP.
Figura 3: El servidor web registra la direccin IP desde donde se est conectando el cliente de WhatsApp
Como curiosidad extra, si adems se quiere, esta utilidad podra utilizarse para realizar ataques
desde Internet a los servidores de una red interna, enviando unaURL con una imagen que apunte
a http://ServidorInterno/app.asp?1; shutdown --de forma similar a como contaba yo que por
culpa de las opciones de carga de imagen en Mail para iOS el jefe se podra cargar la base de
datos.
Si tienes WhatsApp para Android lo mejor es que desactives esta opcin, que aporta ms bien
poco para tu seguridad y privacidad. Adems, como precaucin general procura no seguir enlaces
que recibas por mensajes de WhatsApp, ya que aunque no se haga la carga automtica de las
imgenes, si haces clic en un enlace que recibes por WhatsApp y te lleva a un servidor web
controlado, vas a hacer pblica tu direccin IP, y suceder lo mismo.
Como ltima recomendacin, si quieres evitar problemas de privacidad extras, recuerda que
en WhatsApp puedes quitar cosas como informar si ests online, la ltima vez que te conectaste,
etctera. Es decir, puedes poner un poco ms de privacidad a su uso.