Esta semana la noticia con WhatsApp ha sido la del joven andaluz que ha sido detenido por la Guardia Civil acusado de espiar los movimientos de su pareja con un troyano instalado en un terminal que él mismo la entregó con el que leía los mensajes de WhatsApp. Uno de esos tantos que bien han podido ir buscando por Internet como espiar WhatsApp a su novi@.
Con el robo de la cuenta de WhatsApp, como en el último ejemplo en el que contaba con qué pocos permisos una app en Android puede robarte la cuenta de WhatsApp, no da acceso a las conversaciones anteriores, ni a las fotos enviadas o recibidas, ni a la agenda de contactos tan siquiera. Sí que da acceso, no obstante, a los mensajes que lleguen a futuro, a los nombres de los grupos a los que se pertenece, y al envío de mensajes suplantando a la víctima. Dicho esto, estas serían una serie de medidas que se pueden y deben tomar contra el robo de la cuenta.
1.- Protección del PIN de la SIM
WhatsApp utiliza un sistema de alta de cuenta en un dispositivo móvil utilizando un OTC (One-Time Code) enviado por mensaje SMS. Este código se va a enviar a la tarjeta SIM - o las tarjetas SIM duplicadas - que tenga asociado el número de teléfono. Si un atacante puede sacar tu tarjeta SIM y conoce el PIN entonces podrá configurar la cuenta de WhatsApp asociada a ese número en otro terminal.
Es muy importante que nadie conozca ese PIN, así que ten mucho cuidado con cuál pones y a quién se lo dices, que podría utilizarlo en tu contra.
2.- Protección del PUK de la SIM
El código PUK es un código de recuperación cuando se bloquea el código PIN de la SIM. Normalmente nadie se acuerda del código PUK de su tarjeta, pero tiene guardado este código en la caja del teléfono móvil con el papel que le entregaron el día que compró la SIM. Este código nadie lo cambia, a diferencia del código PIN que sí que puede ser cambiado por muchos. Si alguien accede a ese código PUK podrá bloquear la SIM y conseguir acceso con el código PUK.
Guarda de forma segura ese código PUK, que no sea fácil para nadie encontrar su ubicación y tirarle una foto para robarte la SIM en un momento, y con ella la cuenta de WhatsApp.
3.- Utiliza tarjetas SIM no clonables
Como ya os conté en otro artículo, existen tarjetas SIM muy antiguas que permiten ser clonadas. Si tienes una tarjeta SIM desde hace muchos años - pero muchos - puede ser que alguien consiga sacarla, hacer una copia en unos segundos, y llevarse tu SIM.
Con la copia conseguida, el atacante podría registrar la nueva SIM en otro terminal y con ella, por supuesto, la cuenta de WhatsApp.
4.- Protege los datos del contrato
Como ya vimos, una forma que utilizan los malos para robar los códigos OTP SMS de las operaciones bancarias en algunos países se basa en hacer un cambio de operador con datos robados. Para ello, se consiguen los datos del contrato de la SIM y se van a otro operador a pedir lo que se denomina SIM Swapping. Esto les permite tener una nueva SIM con el mismo número, pero en otro operador de telecomunicaciones.
Protege tu contrato para que nadie acceda a los datos necesarios para realizar una portabilidad a otro operador solo para robarte la cuenta de WhatsApp.
5.- Evita conexiones GSM A5/0 o A5/1
Esta opción es de nota y solo para los muy pro. En el mundo del hacking de comunicaciones SDR-RTL, existe la posibilidad de capturar un mensaje SMS si este está enviado por una conexión GSM que utilice protocolos de cifrado A5/0 o A5/1. En el primer caso es bastante evidente, ya que el protocolo A5/0 no lleva cifrado, pero en el caso de A5/1 se conoce desde hace tiempo como crackear el sistema de cifrado y robar las comunicaciones GSM - incluidos los SMS con los códigos de OTC de WhatsApp -.
Por supuesto, esta es de nota, y un atacante malo, malo, malo, malo, podría esperar a que situaras en alguna determinada zona geográfica con antenas antiguas con solo estos tipos de cifrado GSM disponibles.
6.- Evita la previsualización de mensajes SMS en pantalla bloqueada
Los códigos OTC que envía WhatsApp pueden verse en pantalla, incluso con el terminal bloqueado, si está configurada la previsualización de mensajes. Es muy importante que no dejes que se previsualicen, al menos los mensajes SMS, para evitar el robo de la cuenta de WhatsApp y de otras muchas.
7.- Bloquea los números de teléfono de WhatsApp de recuperación de voz
Esta también es otra de nota, y la verdad es que estamos intentando saber cuáles son todos los que utiliza WhatsApp en los diferentes países, para ayudar a evitar el ataque. La idea es que para un atacante es posible solicitar la recuperación de un WhatsApp vía llamada de VoIP (Voz sobre IP). Como no es posible bloquear el terminal para que no se puedan coger las llamadas, la alternativa es bloquear los números de teléfono que usa WhatsApp.
En las pruebas que hemos hecho, hemos recibido las llamadas de verificación desde estos números +1 (484) 652-8787 y +57 (4) 905-5110. Si hacéis más pruebas y me pasáis los números que os salen, los añadimos a la lista. La solución más drástica es la de activar el modo No Molestar y bloquear el terminal mientras que no se vaya a utilizar. Eso sí, no podrá recibir llamadas nadie.
8.- Desactiva o protege el acceso remoto a tu buzón de voz
Las compañías de teléfono ofrecen un buzón de voz en sus sistemas que puede ser accedido remotamente. Si el atacante solicita la recuperación de WhatsApp vía llamada de verificación cuando tu terminal está apagado, entonces el código de recuperación quedará grabado en el buzón de voz. Si no has cambiado el código de acceso por defecto y el atacante puede llamar desde otro terminal a tu buzón de voz, podrá escucharlo.
Este el caso de Yoigo, que tiene un código por defecto 0000 y que permite a cualquiera que conozca el número de teléfono de la víctima, sabiendo que muchas personas no cambian el código, poder acceder al código. Una password por defecto con acceso remoto es un fallo de seguridad que pueden aprovechar los atacantes.
9.- Robo de WhatsApp por previsualización de iMessage
En las últimas versiones de iPhone & OS X - si eres usuarios de Apple -, se parean los mensajes SMS y las llamadas de voz entre iPhone y OS X. Es decir, recibes un SMS en iPhone, y este se parea con todas tus cuentas de iMessage. Si dejas tu equipo Mac OS X con la sesión cerrada, y alguien te solicita el código de recuperación, este te llegará al SMS y se sincronizará con iMessage en tu OS X.
Si no has quitado la previsualización de iMessage en OS X, el atacante podrá verlo con la pantalla bloqueada y robarte la cuenta.
Fuentes: http://www.elladodelmal.com/2015/07/proteger-whatsapp-prueba-de-balas-como.html
No hay comentarios:
Publicar un comentario