Es posible: Interceptación y espionaje en Whatsapp y Telegram

En el marco de la DragonJar Conference, el argentino Marcelo Romero expuso una vulnerabilidad en servicios de mensajería instantánea que permite interceptar mensajes en tiempo real y obtener datos privados. 

Marcelo Romero es un argentino que está muy ligado a temas forenses, especialmente en dispositivos móviles. Presentó una charla en Ekoparty 2017 sobre un bypass a la placa PCB de los dispositivos móviles, pudiendo entrar en la memoria MMC sin necesidad de encenderlos. Una técnica que se utiliza para pericias forenses, pero que también se puede utilizar para realizar ataques a estos dispositivos.

Fuente: ekoparty.org

Este año, en DragonJar Security Conference, dio una charla sobre cómo interceptar mensajes de aplicaciones de mensajería instantanea, en específico Whatsapp y Telegram.

En simples palabras, lo que Romero logró fue asociar dos dispositivos a una misma cuenta, permitiendo recibir mensajes tanto en el dispositivo original como en el clon. Claramente, para esto se debe tener acceso físico al teléfono, para poder realizar el clon. A nivel de espionaje, es relativamente sencillo tomar el dispositivo de una persona, sacar una imagen, iniciarla en alguna máquina virtual, hacer fuerza bruta al patrón y poder ingresar a las aplicaciones. Una vez realizado todo este proceso, explotando la debilidad encontrada, quedan los dos dispositivos (el original y el clon) asociados a una misma cuenta, por lo tanto, cuando se recibe un mensaje o una llamada, lo recepcionan ambos dispositivos.

En la demostración pudimos ver que un teléfono celular X enviaba a un mensaje o una llamada mediante Whatsapp y Telegram a un celular Y, mientras Y recibe la llamada y el mensaje, pudimos ver que en un dispositivo clonado llamado Z se veía exactamente lo mismo que en el receptor Y.

Conversamos con Marcelo después de su presentación y esto fue lo que nos dijo:

Además nos comentó que para Telegram, esta duplicación de identidad dura aproximadamente dos horas, luego de eso la cuenta se bloquea, por el contrario, en Whatsapp no ocurre este problema.

Más allá de las llamadas y mensajes, demostró que es posible acceder a otro tipo de información, como por ejemplo la información acerca de la cuenta. Es posible solicitar nuestro historial y comportamiento, y esto se puede realizar mediante el clon. La opción se llama “Solicitar información de tu cuenta”

Al momento de hacer esta solicitud, no es validada correctamente por Whatsapp, permitiendo acceder a la información de la cuenta original. En este reporte puedes encontrar la ultima ubicación del dispositivo, foto de perfil, estadísticas de mensajes y lo mejor ¡la lista de contactos!

Marcelo en DragonJar Conference 2018