This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

D.o.S. (Denial of Service) a cualquier cuenta de WhatsApp

  • 5 Replies
  • 8688 Views

0 Members and 1 Guest are viewing this topic.

Offline AXCESS

  • *
  • Moderador Global
  • Posts: 2105
  • Actividad:
    100%
  • Country: 00
  • Reputación 26
    • View Profile
    • Email
You are not allowed to view links. Register or Login

No es la primera vez que en se habla en El lado del mal de “puntos flacos”, debilidades o leaks que WhatsApp ha sufrido y sufre con respecto a la privacidad y seguridad de sus usuarios. Debilidades que WhatsApp ya ha arreglado, como la que permitía desbloquearse con un servicio, trucos para esquivar el check azul o para lo contrario, para saber si un usuario ha leído o no un mensaje.

También se han visto problemas más serios, como el bypass del SceenLock con FaceID en una versión de WhatsApp, o el posible de robo de una cuenta mediante el acceso a los códigos de recuperación enviados al buzón de voz, pasando por leaks como el que permite saber el nombre de cualquier usuario que te ha enviado un mensaje, los ataques a las empresas mediante el robo de cuentas o mil y un trucos para espiar WhatsApp que se han podido utilizar a lo largo del tiempo.

D.o.S. a una cuenta de WhatsApp


Vamos a centrarnos en un ataque de Denegación de Servicio (D.o.S.: Denial of Service) que puede hacer que tu cuenta de WhatsApp se quede inutilizada durante un tiempo indefinido, gracias a que la app de WhatsApp permite realizar intentos infinitos a cualquier atacante sobre un número de teléfono asociado a una cuenta de WhatsApp de su víctima.


Esto es sencillo de entender, porque como ya sabe todo el mundo, la forma en la que WhatsApp verifica la propiedad de una cuenta es mediante un SMS de verificación, o una llamada de voz asociada a un número de teléfono.

You are not allowed to view links. Register or Login


De esta forma, al introducir el código recibido en la aplicación somos capaces de verificar que ese usuario efectivamente es el poseedor de la línea y quiere iniciar sesión o registrarse en WhatsApp.  Conociendo este sistema, es fácil que surja la siguiente pregunta, ¿sería posible realizar un ataque de fuerza bruta introduciendo infinidad de códigos SMSs en la aplicación hasta dar con el correcto?
 

Pues bien, para que esto no suceda, tras el octavo intento WhatsApp pone un temporizador de 12 horas en el que se impide introducir códigos de SMS para ese número, desde cualquier dispositivo (incluido el de la víctima).

You are not allowed to view links. Register or Login

Esto, tiene cierto sentido, de esta manera evitaríamos que un atacante con dispositivos ilimitados pudiese probar códigos de SMS ilimitados, pero también, como vamos a ver, tiene un problema que puede ser explotado por una atacante para hacer un ataque de D.o.S.

Como se ha visto en el ejemplo, pedir códigos SMS hasta que WhatsApp bloquee los SMS de verificación durante un periodo largo de 12 horas es, por separado, un ataque bastante "inofensivo", pues solo afectaría a la víctima en caso de ella quisiera iniciar sesión en otro móvil en esas primeras 12 horas, algo poco habitual. Sin embargo, esto puede ser más peligroso de lo que parece.

You are not allowed to view links. Register or Login
 
El problema de este ataque es que, con la combinación que habilita WhatsApp para cerrar la sesión de tu móvil sin autenticación previa, de forma remota y de manera automatizada, con simplemente enviar un e-mail a la dirección [email protected] con el contenido de mensaje:

You are not allowed to view links. Register or Login

La única "limitación" es que solo se puede enviar un e-mail de este estilo por cuenta de correo y por número de teléfono. Pero, aun así, con solo un mensaje de este tipo, llegados a este paso la víctima verá el siguiente mensaje, en el que presionando cualquiera de los botones se pedirá que se vuelva a validar.

You are not allowed to view links. Register or Login

Ahora, al probar con cualquier código de verificación de cuenta, incluso el último correcto que haya recibido, la víctima estará fuera de WhatsApp y no podrá iniciar sesión hasta pasadas 12 horas, que es cuando podrá pedir un nuevo código de verificación que se utilizable.

You are not allowed to view links. Register or Login

El problema es que, si el atacante quiere que esto sea permanente solo deberá realizar el mismo ataque de fuerza bruta probando SMSs hasta en tres ocasiones, una vez transcurran las 12 horas, para conseguir otro bloqueo de igual período de tiempo. En este momento la cuenta atrás dejará de marcar 12 horas para marcar -1 segundos, habiendo bloqueado la cuenta permanentemente.

You are not allowed to view links. Register or Login

hasta que WhatsApp solucione el fallo, todos somos vulnerables a un tipo de ataque en el que ni la verificación en dos pasos podría ayudarnos, así que ten mucho cuidado con quién compartes tu número de teléfono.

Autores:
Luis Márquez Carpintero y Ernesto Canales Pereña

You are not allowed to view links. Register or Login

Contacto:
You are not allowed to view links. Register or Login

Fuente vía:
Hacking Land
You are not allowed to view links. Register or Login

« Last Edit: April 13, 2021, 04:48:57 pm by AXCESS »
You are not allowed to view links. Register or Login

Offline elshotta

  • *
  • Underc0der
  • Posts: 126
  • Actividad:
    0%
  • Reputación 1
    • View Profile
buenas,
muy interesante tu post.
Gracias por compartir

Offline Muppet

  • *
  • Ex-Staff
  • *****
  • Posts: 405
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
    • View Profile
    • Email
Interesante cuanto menos, gracias por la información.
Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".

Offline LetalToxic

  • *
  • Underc0der
  • Posts: 1
  • Actividad:
    0%
  • Reputación 0
    • View Profile
Era un buen método, pero por lo que sé, ya no funciona, ahora al enviar el correo a el soporte de WhatsApp, te piden que verifiques que el número que quieres desactivar te pertenece, solicitándote documentación que lo compruebe, como una copia de factura telefónica o contrato de servicio.

Offline Hw0Bipo

  • *
  • Underc0der
  • Posts: 13
  • Actividad:
    0%
  • Country: es
  • Reputación 1
  • Nadie se sale de la Matrix que vivimos
    • View Profile
Como dice el compañero de arriba te pide documentación, lo que si se podría hacer es quemar Codes y esperar que la víctima cambie de móvil para que al introducir su número en WhatsApp este no lo dejé jajaja

Offline AXCESS

  • *
  • Moderador Global
  • Posts: 2105
  • Actividad:
    100%
  • Country: 00
  • Reputación 26
    • View Profile
    • Email
Esto lo parcheó Facebook poco después de darse a conocer esta falla en el sistema.

Quede como recuerdo.
« Last Edit: October 06, 2022, 11:31:41 pm by AXCESS »
You are not allowed to view links. Register or Login