Hace unos meses, unos investigadores de Check Point publicaron información sobre una serie de vulnerabilidades que habían descubierto en WhatsApp, a las que acuñaron bajo el nombre de “FakesApp”. Hemos visto en el pasado otras vulnerabilidades que generaron revuelo, tanto para WhatsApp como para otros sistemas de mensajería.
Según los investigadores de CheckPoint, las vulnerabilidades descubiertas permitían interceptar y manipular los mensajes que se enviaban, tanto en conversaciones privadas como en grupos. Esto abría la puerta a diferentes tipos de ataques orientados a intentar distribuir fakes news o información falsa utilizando este popular sistema de mensajería. En el post original donde exponían su trabajo, describían tres posibles escenarios de ataque que mostraban cómo combinando las vulnerabilidades descubiertas y la ingeniería social se puede engañar a los usuarios y hacerles llegar contenido falso.
Los mensajes que se podían manipula eran los que se recibían en una sesión WhatsApp Web, al ser transferidos del móvil al navegador. En este momento, el atacante podría interceptar los mensajes que recibía para modificar el contenido enviado por el remitente en su propia sesión de WhatsApp Web.
La vulnerabilidad estaba en que, si el atacante respondía al remitente tras haber modificado su mensaje y utilizaba la función de “quote” (la de citar el mensaje en la respuesta), al recibir dicha respuesta el remitente vería en la cita el texto modificado por el atacante, en lugar del que él envió. En esencia, el atacante conseguiría poner palabras en boca del remitente que jamás pronunció. Esto podría generar confusión y algún quebradero de cabeza, aunque el remitente fuera consciente de que él jamás envió el mensaje que aparece como suyo en la cita de la respuesta.
El contenido completo de los post se puede leer ElevenPath y II.
El siguiente material que publicamos es el de la charla de Pablo Espada Bueno, perito judicial e ingeniero informático, en la H-c0n 2019. En esa charla, además de repasar los conceptos básicos de Whatsapp desde un punto de vista forense (algo que ya se ha hecho en charlas como la de Manu Guerra en Cybercamp 2017), explicó cómo utilizando un segundo teléfono (este sí que estará “rooteado“) se pueden manipular los mensajes de WhatsApp sin necesidad de manipular el teléfono original, lo que hace que dicha manipulación resulte indetectable para cualquier perito.
La técnica se basa en el uso de copias de seguridad locales cifradas, que pueden ser descifradas en otro teléfono siempre que se pueda acceder a las llamadas o a los SMS utilizados como 2FA. Aprovechando esto, se extrajo la BBDD de Whatsapp en abierto en el teléfono auxiliar, pudiendo manipular los mensajes y devolviéndolos luego al teléfono original, de nuevo a través de una copia de seguridad.
Como dice Pablo esta técnica no es nada especial, ni requiere unos conocimientos exahustivos para realizarla, pero no hemos encontrado que haya sido mostrada en ningún artículo técnico, por lo que elevó aún más el interés de la charla.
Fuente: Segu-Info y HackPlayers