WhatsApp.
Según supo averiguar un grupo de investigadores especializados en ciberseguridad, es posible descubrir la ubicación exacta de una persona con una precisión de más del 80% en redes sociales como WhatsApp con solo medir el tiempo que tarda una persona recibir la confirmación. Aquello asegura que el mensaje fue recibido por el destinatario correctamente.
El contenido al que quiere acceder es exclusivo para suscriptores.
Esta nueva técnica es una modalidad real que este grupo de investigación descubrió a través de un error de vulnerabilidad presente en la amplia mayoría de aplicaciones de mensajería como WhatsApp, Signal y Threema.
Durante todo el período de investigación y desarrollo, se realizaron diferentes tipos de pruebas en diversas apps de mensajería, concretamente en Signal, WhatsApp y Threema. Bajo el mismo patrón, se pudo averiguar la ubicación de los receptores de los mensajes con un gran margen de precisión. El patrón se trató de una técnica sencilla y fácil de emplear por parte de algún hacker.
La técnica descubierta por los investigadores fue la siguiente. Cuando el emisor envía el mensaje, debe comenzar a medir el tiempo que demora la aplicación, en enseñar la confirmación de recepción del mensaje. Pero esto debe hacerse mediante el uso de una herramienta que permita chequear los logueos de envío de paquetes por parte de la aplicación.
Todo ese tiempo va a indicar, aproximadamente, de cuánta es la distancia que el mensaje ha tenido que recorrer hasta alcanzar al receptor.
Todo ese tiempo cambiará, dependiendo del área del mapa en la que el destinatario se encuentre. Y si bien no es posible conocer esa localización utilizando solamente estos datos, quien intente atacar, de alguna manera, a su destinatario podrá llevar a cabo una serie de ataques dirigidos a éste, mediante diferentes envíos de "calibración" sabiendo donde se encuentra. Y obteniendo así, el tiempo que pasa hasta que aparece el indicador de recepción para utilizarlo como referencia final.
El análisis del tráfico de red puede ayudar al atacante a determinar qué paquetes son las notificaciones de estado entregadas. Quién sea el atacante tendrá que clasificar las diferentes ubicaciones. Y hacerlas coincidir con los tiempos de "ida y vuelta" calculados entre mensaje y mensaje, para luego poder intentar vincular estos pares de datos con la ubicación del objetivo, utilizando el conjunto de datos de éste.
Los resultados del estudio dieron que, utilizando esta técnica, se puede obtener la ubicación del receptor del mensaje con una precisión prácticamente del 82% en Signal; del 80% en Threema y, finalmente, del 74% en WhatsApp.
A partir de esto han recomendado a los desarrolladores de aplicaciones poder variar más los tiempos de confirmación de recepción de mensajes. Explican que, de esta forma, sería una manera efectiva de poder evitar ataques de esta índole. Cualquier valor entre uno y veinte segundos ya debería ser más que suficiente para terminar con este problema por completo.
Los investigadores declararon que se han comunicado con las tres compañías (WhatsApp; Theerma y Signal) para informarles de esta situación. Dos de ellas ya están investigando. Theerma, en su lugar, está estudiando otras opciones que podrían utilizarse en el desarrollo de la app más adelante.
Dejá tu comentario