Cmo saber dnde est alguien por un chat de WhatsApp

parece bastante peligroso que una persona pueda saber por qu direccin IP otra persona est
conectndose a WhatsApp. Viendo el inters que el mundo tiene en la seguridad de WhatsApp y
su privacidad tanto en cmo espiar WhatsApp, esta es una caracterstica peligrosa que atenta
contra la privacidad de las personas, as que lo mejor es que la deshabilites.
El estudio de este fallo lo publicaron Luis Delgado y Ferran Pichel en Security By Default, no
solo para aprovechar esta caracterstica con el fin de localizar la direccin IP de una persona,
sino como fallo de seguridad que provocaba unaDenegacin de Servicio en la app, adems de
poder generar un consumo no controlado de recursos.
El problema de se seguridad radica en que por defecto en las nuevas versiones
deWhtasApp para Android - en iPhone an no se ha introducido esa caracterstica -, la
aplicacin muestra una imagen de previsualizacin de cualquier URL que ha sido enviada como
mensaje de chat en WhatsApp.

Figura 1: Mensaje de WhatsApp con URL que muestra previsualizacin de imgenes

La funcionalidad de mostrar una previsualizacin en miniatura de una imagen de la direccin web

compartida es muy comn en cualquier red social en la que se permite hacer una publicacin
de URLs, como por ejemplo Facebook o Google+, y por eso deben haberla introducida. El detalle
sin embargo es sutil, y cambia por completo el escenario, ya que en Facebook o Google+ la
imagen es descargada desde la red social cuando es visualizada por un cliente, pero al hacer que
esto sea por defecto en un cliente mvil los riesgos de seguridad son equivalentes a cuando se
permite descargar una imagen remota por defecto en un correo electrnico - algo que por
ejemplo Mail para iOS haca mal y corrigi por motivos de seguridad y privacidad -.

Figura 2: Pgina PHP en servidor web con img a servidor web que controla los accesos a la imagen

Enviando por mensaje una URL de un sitio web que tenga una imagen que sea incluida desde un
servidor web controlado, fuerza al cliente de WhatsApp para Android a hacer una peticin al
servidor web para descargarse la imagen. En esa peticin se puede ver la direccin IP desde la
que el cliente de WhatsApp para Android, es decir, el mvil de la persona que est detrs de un
nmero de telfono, se est conectando.
La ubicacin geogrfica de las direcciones IP no funciona extremadamente bien y puede que
salgan cosas dispares a veces, pero puede suponer un riesgo para la privacidad de una persona en
muchos casos en los que s que se puede geo-posicionar ms o menos correctamente dicha
direccin IP.

Figura 3: El servidor web registra la direccin IP desde donde se est conectando el cliente de WhatsApp

Adems de eso, en la peticin va tambin el USER-AGENT de la peticin, donde se dan muchos

detalles del software que est corriendo tras un determinado nmero de telfono, que en un
esquema de ataque dirigido puede ser importante, sobre todo hoy en da que se
conocen bugs para los terminales Android no actualizados. No hay que olvidar que los usuarios de
terminales con Android, debido a la dispersin de hardware, son los que menos actualizados
tienen el sistema operativo, as que son los ms expuestos a exploits conocidos.

Figura 4: Distribucin de versiones de Android ofrecidas por Google

Como curiosidad extra, si adems se quiere, esta utilidad podra utilizarse para realizar ataques
desde Internet a los servidores de una red interna, enviando unaURL con una imagen que apunte
a http://ServidorInterno/app.asp?1; shutdown --de forma similar a como contaba yo que por
culpa de las opciones de carga de imagen en Mail para iOS el jefe se podra cargar la base de
datos.
Si tienes WhatsApp para Android lo mejor es que desactives esta opcin, que aporta ms bien
poco para tu seguridad y privacidad. Adems, como precaucin general procura no seguir enlaces
que recibas por mensajes de WhatsApp, ya que aunque no se haga la carga automtica de las
imgenes, si haces clic en un enlace que recibes por WhatsApp y te lleva a un servidor web
controlado, vas a hacer pblica tu direccin IP, y suceder lo mismo.

Figura 5: Ajustes de carga de imgenes en URLs en WhatsApp para Android

Como ltima recomendacin, si quieres evitar problemas de privacidad extras, recuerda que
en WhatsApp puedes quitar cosas como informar si ests online, la ltima vez que te conectaste,
etctera. Es decir, puedes poner un poco ms de privacidad a su uso.