Las cuentas de Whatsapp se basan en los números de teléfono. Esto significa que su número de teléfono es su nombre de usuario y también se utiliza para la autenticación.
Si bien esto no es perfecta desde el punto de vista de privacidad guarda la, a menudo no técnica, usuario de tener que recordar otra contraseña que potencialmente podrían reutilizar o, peor aún, dan a conocer a través de un ataque de phishing.
Al iniciar la aplicación por primera vez que el usuario tiene que introducir su número de teléfono. Una clave de verificación entonces enviar a este número por SMS o llamada. Después de que el código se ha introducido en la aplicación, el token de autenticación se guarda en el dispositivo y el usuario se registra.
Cuando el usuario recibe un nuevo dispositivo el proceso debe repetirse para este dispositivo y se autorizó-des el antiguo dispositivo. Whatsapp no almacena los mensajes antiguos en sus servidores, por lo que los mensajes anteriores no será transferido al nuevo dispositivo.
Desde el punto de vista del atacante se ve bastante difícil de derivación. Sólo hay dos incursiones "obvios"
1 Acceso al número de víctimas teléfono de alguna manera. Esto podría lograrse por algún tipo de ataque contra la red celular o el proveedor de servicios móviles. Incluso si se pudo obtener acceso al número de teléfono, sin embargo, no permite el acceso a los mensajes antiguos o el historial de conversación y la víctima se convertiría instantáneamente en cuenta fue hacia arriba, como su teléfono conseguiría algo cerrado la sesión. 2 Irrumpir en el sistema operativo y tener acceso a la partición de datos, etc. Mientras que esto iba a funcionar, que es bastante caro.
En 2015 se puso en marcha la web WhatsApp, un sitio web que permite convenientemente enviar y recibir mensajes de Whatsapp desde un ordenador. Para usarlo, un navegador tiene que estar interconectadas con el teléfono, y el teléfono permanece en el mando. A continuación una breve descripción del flujo:
Al escanear un código QR que aparece en la página Web Whatsapp usa la aplicación móvil Whatsapp el navegador que solicita el código está autorizado. Ahora el usuario puede usar WhatsApp en este navegador, siempre y cuando su teléfono está encendido y accesible por el ordenador.
Este procedimiento ofrece un cómodo punto de apoyo para los atacantes. Se puede engañar al usuario para escanear el código QR y le dará acceso completo a la cuenta incluyendo la comunicación futuro y el pasado.
El atacante sólo tiene que engañar al usuario para escanear un código "malicioso" para autorizar el navegador del atacante. Esto les dará acceso completo a la cuenta de la víctima Whatsapp. Un sorteo en línea simple, en la que se pide a la víctima para escanear un código para entrar, podría plantear como un señuelo.
Para complicarlo, Whatsapp no muestra un código QR estática en su página de registro, pero genera uno diferente cada pocos segundos. Esto evita que los atacantes simplemente copiando el código y publicar en una página nueva.
El usuario verá el navegador adicional cuando la lista de sus dispositivos Whatsapp Web autenticados.
La víctima recibirá una advertencia si un navegador adicional inicia sesión en el cliente web mientras usan Whatsapp Web sí mismos.
Todavía es un ataque de ingeniería social: la víctima tiene que ser estafado para que den acceso.
Aún así, es una opción interesante para engañar a los usuarios descuidados.
Fecha actualización el 2017-1-23. Fecha publicación el 2017-1-23. Categoría: Whatsapp. Autor: Oscar olg Mapa del sitio