Whatsapp y sus (ya corrientes) fallos de seguridad

No Gravatar

Hoy en dí­a, la mayor parte de gente que utiliza smartphones, sean Android, iPhone, BlackBerry, WindowsPhone o Symbian, conoce las bondades del ya famoso Whatsapp. A todos nos gusta ahorrarnos unos dinerillos enviando mensajes por este servicio a través de la (ya inflada) tarifa de datos que las grandes operadoras nos enculan cobran (lo de la tarifa plana es meramente una utopí­a). Pero lo que no mucha gente sabrá es que existen métodos para poder ver las conversaciones de la gente que utilice Whatsapp en su mismo segmento de red, es decir, que estén conectados a través de WiFi a su router (es mucho más divertido educativo en una red pública o en bares, bibliotecas, etc..).

Desde aquí­ no quiero animar a nadie a que ejerza de “chafardera digital” y se ponga a espiar conversaciones ajenas desde su terminal. El motivo de este post es el de hacer latente un graví­simo fallo de seguridad en la aplicación de la que os hablo.

Whatsapp, como ya sabéis, es un servicio de mensajerí­a instantánea disponible para cualquier smartphone actual y que usa el protocolo xmpp para la transmisión de datos. Sus conexiones tienen como destino el puerto 443 (HTTPS) aunque todo el texto de los mensajes viaja bajo texto plano. Los datos de XMPP son enviados a bin-short.whatsapp.net bajo el puerto 5222. Con esta premisa, y por medio de un sencillo programa llamado WhatsappSniffer, podremos visualizar cualquier conversación del resto de teléfonos que estén conectados en nuestra LAN.

El funcionamiento es muy sencillo. Simplemente ejecutamos el programa que actua como Sniffer de red (en redes con cifrado WPA/WPA2 requiere la técnica de ARP-Spoof) e iremos viendo como aparecen las conversaciones del resto de teléfonos de nuestra red con otras personas. Da igual que el teléfono sea un iPhone, Android, etc… lo que estamos haciendo es capturar directamente el tráfico de red de Whatsapp y mostrarlo.

Aviso: El programa requiere de permisos root para poder funcionar, ya que hace uso de la captura del interfaz de red inalámbrico. Deberás tener tu terminal “rooteado” para hacer funcionar correctamente el sniffer.

Si queremos parar de “esnifar” el tráfico, simplemente pulsamos el botón “STOP” y ya está.

He de añadir que la aplicación funciona estupendamente en un Samsung Galaxy S con CyanogenMod 9 (Android 4.0.4 ICS) pero podéis probarlo en cualquier otro terminal Android y comentar los resultados.

El .apk podéis descargarlo desde multitud de sitios de manera bastante sencilla (si alguien lo quiere y no lo encuentra ni preguntándole a San Google, que deje un comentario en este post). No me hago responsable del mal uso (hacia amigos, novios/novias, familiares, desconocidos, etc…) que podáis darle. 😉

Compártelo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*