5/1/12

WhatsApp al descubierto

Hoy vamos a hablar de una herramienta para sniffear todo lo que whatsapp manda/recibe en la red creada a partir del estudio realizado Alberto Ortega en su post 'WhatsApp y su seguridad, ¿pwn3d?'


¿Qué es Whatsapp?

Whatsapp es un servicio de mensajería instantánea disponible para cualquier smartphone actual y que usa el protocolo xmpp para la transmisión de datos.

¿Como funciona whatsapp?

Como los chicos de securitybydefault nos comentaban en el otro post, whatsapp tiene como destino el puerto 443(HTTPS) aunque todo viaja bajo texto plano.

Whatsapp usa el protocolo XMPP(una tecnología de comunicación en tiempo real muy potente y utilizada actualmente). Un claro ejemplo del uso de XMPP lo podemos encontrar en el tuenti chat sin ir muy lejos.
Los datos de XMPP son enviados a bin-short.whatsapp.net bajo el puerto 5222.


¿Un momento, seguro que van en texto plano?... Así cualquier desalmado puede leer mis mensajes cuando estoy en una red wifi..

Exacto, todos los datos son enviados bajo texto plano, una vulnerabilidad que fue descubierta hace meses y reportada pero a la que whatsapp no hizo caso.

Para leer el resto de la entrada visita el siguiente enlace.

http://www.securitybydefault.com/2012/01/whatsapp-al-descubierto.html

6 comentarios:

Ike dijo...

No sabia que era TAN inseguro...ya tengo otra razón para no usar whatsapp, aparte del irritante sonido...
Muy buena entrada zerial =)

Anónimo dijo...

Hola, no si lo que pido es irrealizable, después de tirarme todas las navidades dando vueltas por la red solo encuentro ambigüedades, el caso es que como mucha gente quiere, deseo espiar el móvil de mi novia o de lo que sea ahora pero no por la simple curiosidad, sino por pura desesperación e imposibilidad; aunque me da vergüenza, cuento: Nuestro negocio se fue al traste la semana antes de nochebuena, dos días después me decía "no te preocupes ya saldremos adelante, esta noche buena y noche vieja nos despejaremos por ahí y año nuevo vida nueva" y que razón tenía... el jueves antes de nochebuena me llamó para preguntarme una cosa trivial y me dijo que después me llamaría, la estuve llamando el viernes y el sábado, no me lo cogió hasta el lunes 27 y porque no tenia mas remedio, teníamos que dar de baja la SS y lo demás, le pedí explicaciones pero no me decía nada, que no había salido que estaba en su casa...historias, el jueves siguiente lo mismo y esta vez aunque yo salí un rato a ver un amigo imagina la entrada de año nuevo que pasé, llamé y llamé y nada lo mismo hasta el pasado lunes, le dije que habláramos que me mandara a la mierda, me contara lo que ocurría o lo que fuera, pero que después de 13 años me parecía una estupidez y algo demasiado violento lo que estaba haciendo, nada, no puedo quedar con ella, el waht* es su único medio de comunicación ahora(yo no tengo) con quien coño sea, un tío, la competencia,las amigas, todo a la vez..., estoy sin una peseta ya que la contabilidad la llevaba ella, el seguro del coche devuelto osea que inmovilizado para ir a buscarla, seguirla o lo que sea, cuando le pregunto me dice "soluciona cosas y no montes pollos que nos ya no veremos mañana" (un día que nunca llega)este jueves día de reyes la misma historia, y solo quiero saber el que coño esta pasando para decirle, "sé lo que no me quieres contar, es esto y esto, así que ale! viento tu por tu lado y yo ya tranquilo por el mio". si puedes entender solo un poco por la que estoy pasando y puedes echarme un cable...de todas maneras gracias.

ZerialKiller dijo...

Hola buen dia....

primero que nada vaya caso el tuyo hermano.. pero en fin por este medio que esta publicado por los amigos de security by default no es posible que la puedas espiar sin embargo si ai diversos medios par poder lograr el cometido, todo depende que te tipo de sistema operativo tenga el su dispositivo movil y bien el nivel de conocimientos que tengas en informatica es es de suma importancia, puesto que con herramientas en metasploit podrias obtener algo de ayuda.

Anónimo dijo...

un samsung galaxy mini (android), y mis conocimientos...bueno de programación no, de lo que es manejo, pues si, he estado un año y medio montando ordenadores, instalandoles de todo, activando versiones piratas etc, pero vamos que aprendo batusi si me explicas lo que he de hacer, esta situación no se la deseo ni al tío al que mas odio le tenga, prefiero que me peguen tres palizas antes de seguir así, por eso te digo que si puedo pasar pagina de una manera medio digna, llegar y decir "mira, no hace falta que me cuentes nada, tu lo tuyo, yo lo mio" pero claro...y si esta en ese 0,1% y que sea verdad que está después de lo que a pasado (que no ha sido moco de pavo)en modo confinamiento y llego yo con todas mis suposiciones y cacaos mentales y la lío... pues que entonces si que me da algo, bueno supongo que sabes de que hablo, esa esperanza tonta que queda por ahí y que una de cada 1000 veces pita. Y a estas alturas lo de la confianza y eso...a cualquiera en mi situación darle un agujero por donde mirar al menos y ver de donde le vienen los palos.. pues eso; que si me vas indicando hago música con un palo, tiempo por desgracia tengo. gracias.

Anónimo dijo...

menos mal que te dije que lo trataros vía mail...:) es como si retransmiten una paliza que te estan dando, pero bueno, solo que uno, nada más que uno que lo lea y este en situación similar pueda aprovecharlo...nos habremos ganado un trocito de cielo, ya habrá algo en el expediente para enseñarle a San Pedro.

Anónimo dijo...

toc,toc...hay alguien ahí?