D.o.S. (Denial of Service) a cualquier cuenta de WhatsApp

Iniciado por AXCESS, Abril 13, 2021, 04:46:56 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Abril 13, 2021, 04:46:56 PM Ultima modificación: Abril 13, 2021, 04:48:57 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No es la primera vez que en se habla en El lado del mal de "puntos flacos", debilidades o leaks que WhatsApp ha sufrido y sufre con respecto a la privacidad y seguridad de sus usuarios. Debilidades que WhatsApp ya ha arreglado, como la que permitía desbloquearse con un servicio, trucos para esquivar el check azul o para lo contrario, para saber si un usuario ha leído o no un mensaje.

También se han visto problemas más serios, como el bypass del SceenLock con FaceID en una versión de WhatsApp, o el posible de robo de una cuenta mediante el acceso a los códigos de recuperación enviados al buzón de voz, pasando por leaks como el que permite saber el nombre de cualquier usuario que te ha enviado un mensaje, los ataques a las empresas mediante el robo de cuentas o mil y un trucos para espiar WhatsApp que se han podido utilizar a lo largo del tiempo.

D.o.S. a una cuenta de WhatsApp


Vamos a centrarnos en un ataque de Denegación de Servicio (D.o.S.: Denial of Service) que puede hacer que tu cuenta de WhatsApp se quede inutilizada durante un tiempo indefinido, gracias a que la app de WhatsApp permite realizar intentos infinitos a cualquier atacante sobre un número de teléfono asociado a una cuenta de WhatsApp de su víctima.


Esto es sencillo de entender, porque como ya sabe todo el mundo, la forma en la que WhatsApp verifica la propiedad de una cuenta es mediante un SMS de verificación, o una llamada de voz asociada a un número de teléfono.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


De esta forma, al introducir el código recibido en la aplicación somos capaces de verificar que ese usuario efectivamente es el poseedor de la línea y quiere iniciar sesión o registrarse en WhatsApp.  Conociendo este sistema, es fácil que surja la siguiente pregunta, ¿sería posible realizar un ataque de fuerza bruta introduciendo infinidad de códigos SMSs en la aplicación hasta dar con el correcto?


Pues bien, para que esto no suceda, tras el octavo intento WhatsApp pone un temporizador de 12 horas en el que se impide introducir códigos de SMS para ese número, desde cualquier dispositivo (incluido el de la víctima).

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto, tiene cierto sentido, de esta manera evitaríamos que un atacante con dispositivos ilimitados pudiese probar códigos de SMS ilimitados, pero también, como vamos a ver, tiene un problema que puede ser explotado por una atacante para hacer un ataque de D.o.S.

Como se ha visto en el ejemplo, pedir códigos SMS hasta que WhatsApp bloquee los SMS de verificación durante un periodo largo de 12 horas es, por separado, un ataque bastante "inofensivo", pues solo afectaría a la víctima en caso de ella quisiera iniciar sesión en otro móvil en esas primeras 12 horas, algo poco habitual. Sin embargo, esto puede ser más peligroso de lo que parece.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El problema de este ataque es que, con la combinación que habilita WhatsApp para cerrar la sesión de tu móvil sin autenticación previa, de forma remota y de manera automatizada, con simplemente enviar un e-mail a la dirección No tienes permitido ver los links. Registrarse o Entrar a mi cuenta con el contenido de mensaje:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La única "limitación" es que solo se puede enviar un e-mail de este estilo por cuenta de correo y por número de teléfono. Pero, aun así, con solo un mensaje de este tipo, llegados a este paso la víctima verá el siguiente mensaje, en el que presionando cualquiera de los botones se pedirá que se vuelva a validar.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ahora, al probar con cualquier código de verificación de cuenta, incluso el último correcto que haya recibido, la víctima estará fuera de WhatsApp y no podrá iniciar sesión hasta pasadas 12 horas, que es cuando podrá pedir un nuevo código de verificación que se utilizable.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El problema es que, si el atacante quiere que esto sea permanente solo deberá realizar el mismo ataque de fuerza bruta probando SMSs hasta en tres ocasiones, una vez transcurran las 12 horas, para conseguir otro bloqueo de igual período de tiempo. En este momento la cuenta atrás dejará de marcar 12 horas para marcar -1 segundos, habiendo bloqueado la cuenta permanentemente.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

hasta que WhatsApp solucione el fallo, todos somos vulnerables a un tipo de ataque en el que ni la verificación en dos pasos podría ayudarnos, así que ten mucho cuidado con quién compartes tu número de teléfono.

Autores:
Luis Márquez Carpintero y Ernesto Canales Pereña

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Contacto:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente vía:
Hacking Land
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

buenas,
muy interesante tu post.
Gracias por compartir

Interesante cuanto menos, gracias por la información.

Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".

Era un buen método, pero por lo que sé, ya no funciona, ahora al enviar el correo a el soporte de WhatsApp, te piden que verifiques que el número que quieres desactivar te pertenece, solicitándote documentación que lo compruebe, como una copia de factura telefónica o contrato de servicio.

Como dice el compañero de arriba te pide documentación, lo que si se podría hacer es quemar Codes y esperar que la víctima cambie de móvil para que al introducir su número en WhatsApp este no lo dejé jajaja

Abril 13, 2022, 10:49:01 PM #5 Ultima modificación: Octubre 06, 2022, 11:31:41 PM por AXCESS
Esto lo parcheó Facebook poco después de darse a conocer esta falla en el sistema.

Quede como recuerdo.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta