Portada
Hace 5 años | Por adria a medium.com
Publicado hace 5 años por adria a medium.com
Divulgación de IP del usuario de Whatsapp con la función "Vista previa" de enlace [EN]

Divulgación de IP del usuario de Whatsapp con la función "Vista previa" de enlace [EN]

 medium.com

Un simple código php puede revelar la dirección IP y la versión de la aplicación de los usuarios de Whatsapp y guardar la información divulgada en el servidor de los atacantes. Cuando informa del bug a Facebook le responden que: "No es óptimo, la otra alternativa sería deshabilitar las vistas previas (lo que probablemente haría infelices a más de nuestros usuarios)". Se indican los pasos para reproducirlo

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 410 31

Comentarios

D

V 9
K 101
s
editado

Alguien me puede explicar qué narices hace?
He programado profesionalmente php y no entiendo la prueba.

1. Create php file and log file on server : Put below code for og meta description
En qué server?

2. Save this php file.
Lo cualo? Eso lo hemos hecho en el paso anterior...

3. Open whatsapp and type this php files url in whatsapp, when link preview generated you can see IP get captured and same time this IP write over log file on attackers server.

Lo cualo? O sea, creo un archivo php para ver la ip y lo cuelgo en un servidor, abro wasap y voy a la url de dicho archivo y veo la ip? No es el motivo por el cuál he creado el archivo en primer lugar?

Alguien me explica qué no entiendo aquí?

V 3
K 48
sorrillo
editado

#5 Si lo he entendido bien cuando el remitente envía al destinatario un enlace es el destinatario el que genera el preview, al hacerlo está accediendo al archivo php del enlace (el remitente ha enviado la url en el mensaje). Ese acceso ya deja registrado en los logs del servidor la IP del destinatario del mensaje de whatsapp. En tanto que el servidor es del remitente éste puede conocer esa IP.

Y eso sería así entiendo para cualquier enlace, no solo el php, cualquier URL generaría una petición del destinatario para ver qué contenido tiene y mostrarlo en el dispositivo del destinatario, dejando registrada su visita en el servidor y por lo tanto su IP.

En este caso en concreto el PHP además genera como contenido dinámico un texto que contiene la IP de quien hace la petición, por lo que el preview contiene esa IP y se puede visualizar en el destinatario. Lo cual es meramente estético y no aporta nada al ataque más que avisar a la víctima que está siendo atacada. Suena más a forma de mostrar visualmente la prueba de concepto.

En el artículo parece dar a entender que el remitente también ve en su preview la IP del destinatario, pero lo dudo mucho, eso habría que verificarlo. Sería más razonable que el remitente generase su propio preview y con ello viese su ip y no la del destinatario (aunque recordemos que en el servidor, que es del atacante, sí aparece en el log la IP del destinatario).

Si lo que hace whatsaap es generar el preview en el equipo del destinatario y enviarlo por la red al remitente es cuando éste podría ver la IP del destinatario sin salir de whatsapp, pero ese comportamiento no tendría demasiado sentido (ya puestos hazlo al revés, que el preview lo genere y envíe el remitente, que se lleve la carga de datos y todo lo que supone).

V 9
K 81
s

#6 Um.... voy a probarlo....
Entiendo, por lo que comentas (que no por la explicación del artículo, que está hecha con el culo), que el problema es que yo podría bombardear con urls por wasap a la gente y en cuanto los abran y vean el preview ya tendría la ip de su cachivache no?

Si es así, si parece razonablemente grave... Además, para feisbuk es un problema solventable fácilmente, bastaría pasar las peticiones por un proxy, no (si es que no lo hacen ya...)?

V 1
K 21
sorrillo
editado

#7 que no por la explicación del artículo, que está hecha con el culo

No parece que el inglés sea la lengua nativa del autor, creo que hay que agradecer el esfuerzo de intentar comunicarse a pesar del resultado.

y en cuanto los abran y vean el preview ya tendría la ip de su cachivache no?

Eso he entendido sí, e incluso es posible que la preview se genere inmediatamente después de recibirlo ya que en ciertas versiones de Android se puede ver parte del mensaje en la propia notificación, por lo que es posible que se genere con solo recibirlo.

V 1
K 22
s

#8 Fucking hell!! Lo he comprobado y funciona. Basta con enviar un mensaje con una url y descubres la ip del receptor.

Dicho lo cual, por un motivo que desconozco no ha hecho preview de un subdominio.
He tenido que colocar el código en el index.php en la raíz de un dominio donde tengo una web....

Además, el preview cachea, no sé si en mi cacharro o en qué lugar, ya que la ver el mensaje me mostraba el preview de la página anterior. Tras refrescar la página con el chrome en el móvil, para ver la modificada con el "hack", sí he descubierto la ip.

Básicamente podría enviar un enlace a todos mis contactos del wasap y sabría las ips de sus cacharros (o de sus wifis).

V 1
K 20
sorrillo

#10 Con la prueba que has hecho ¿puedes confirmar si en en el preview del remitente aparece la IP del destinatario?

V 0
K 11
s

#11 Tras fuchicar descubro que es al revés.... Veo la url del que envía!!!!

V 1
K 27
Artok

#10 y para que quieres la IP, puedo así espiar los mensajes de mi ex?

V 0
K 10
s

#9 El problema está en que la previsualización es involuntaria. Sigue la conversación iniciada en #6.

V 3
K 43
ann_pe
editado

#19 No parece buena solución pensando en la privacidad, ya que en ese caso Whatsapp estaría al tanto de todos los enlaces que la gente se pasa a través de la aplicación.

La solución es que pongan una opción para activar y desactivar las previews, igual que tienen todas las APP de email serias para cargar o no imágenes externas.
PD: O lo que propone #6, que el remitente genere la imagen preview.

V 2
K 34
e

#20 El tema es que Whatsapp ya esta al tanto de los enlaces que envias o acaso no es un mensaje de whatsapp

V 1
K 24
ann_pe

#22 No, desde hace un par de años los mensajes van cifrados de extremo a extremo con el mismo protocolo que Signal, eso significa que los mensajes se cifran en el dispositivo del emisor para que solo el dispositivo receptor los pueda descrifrar:

https://www.eff.org/deeplinks/2016/04/whatsapp-rolls-out-end-end-encryption-its-1bn-users

V 1
K 19
e

#24 Gracias por la info

V 1
K 19
alexwing
editado

#5 si es como dices, cualquier enlace que se abre en un navegador revela la IP de quien se conecta a dicho servidor, vamos es de cajón, no veo que hay aquí de raro.

V 2
K 40
D
editado

#9 El problema es que aquí no hace falta ni que abras el enlace, la previsualización ya se conectaría exponiendo tu IP sin que tú pudieses hacer nada para evitarlo.

c/c #23

V 1
K 20
angelitoMagno

#25 Cuando compartes un enlace la previsualización de hace antes de enviar. Así que si notas algo raro pues no envías el mensaje y punto.

Por no mencionar que primero tendrías que haber entrado en el enlace antes de darle a compartir.

Y que sigo sin ver qué utilidad tendría esto para algún atacante.

V 1
K 22
D

#27 El problema está en que alguien podría enviarte el enlace para saber donde estás.

V 0
K 13
m

Cada vez es más atractivo y seguro el servicio de mensajería de Facebook.

V 3
K 40
ipanies

Que la población siga utilizando WhatsApp sabiendo lo que se sabe y habiendo alternativa es la explicación de porque nos extinguiremos sin remedio y viéndolo venir desde décadas atrás.

V 2
K 27
angelitoMagno

Vamos, que si haces una web que muestre la IP del usuario y compartes el enlace se mostrará tu IP.

Pues vaya chorrada. Normal que whassap diga que no va a resolver esto.

Nota para el que no lo sepa: Cualquier web a la que accedas lee tu IP (lo necesita para enviarte los contenidos)

V 1
K 20
ann_pe

#23 Como la noticia tiene muy poco texto había entendido que en Whastapp al recibir un mensaje con un enlace este se abría automáticamente sin pedirte permiso para generar la vista previa, si no es eso sino que es que cuando el emisor manda el mensaje Whatsapp genera la vista previa tienes razón en que es una chorrada.

V 0
K 9
sam2001

Esto se sabe desde hace tiempo, como lo de que mientras escribes una URL Whatsapp va pidiendo sobre la marcha esa URL al servidor de destino:

V 1
K 18
Nova6K0

NSA seal of approval.

Salu2

V 1
K 18
capitan__nemo

#17 ¿Quieres decir que la paranoia es rentable?

De todas formas la promocion de la paranoia puede llevar al deseo de privacidad.

¿Qué no es rentable?
Pensaba en la paranoia sobre la guerra nuclear desde principios del periodo de guerra fria. Vender y construir refugios nucleares debia ser tremendamente rentable. Aquí un relato ficción
https://nyc3.digitaloceanspaces.com/sffaudio-usa/usa-pdfs/FosterYoureDeadByPhilipK.DickSSF3.pdf
La televisión estatal rusa está instando a los residentes del país a almacenar sus búnkeres con agua y alimentos básicos/c71#c-71

Y la paranoia por la guerra nuclear con Corea del Norte parece que ha llevado a las conversaciones de paz. Veremos si termina siendo rentable. Como siempre, para unos pocos mucho.

Rae
paranoia
Del lat. cient. paranoia, y este del gr. παράνοια paránoia 'locura', der. de παράνοος paránoos 'demente'.
1. f. Psicol. y Psiquiatr. Perturbación mental fijada en una idea o en un orden de ideas.

En esta pelicula se ve como un agente de policia cae en la paranoia (Regresion 2015 Jim van Os, el holandés que quiere revolucionar la salud mental: Es mucho más que tratar síntomas/c6#c-6 )
De hecho se ve el desarrollo de un fenomeno llamado histeria colectiva, que no es mas que una paranoia colectiva.

Ese colectivo está perturbado por una idea o serie de ideas. No es mas que fabricar consenso sobre una idea que si se quiere se puede llamar paranoica.
La sentencia de ‘La Manada’ y la espiral del silencio/c196#c-196

La paranoia y el miedo tienen mucho que ver. Los miedos inducidos, con los que se fabrica consenso, por ejemplo el terrorismo (es uno de los cebos paranoicos mas utilizados hoy en dia, precisamente para intentar anular la privacidad) Otros intrínsecos a todos. El miedo a la muerte. De eso se encargaron las religiones mucho tiempo, creando un consenso, una paranoia colectiva sobre la vida despues de la muerte para tranquilizar sobre esos miedos.
Más de 200 organizaciones de todo el mundo instan a Polonia a paralizar la nueva ley que prohíbe el aborto/c8#c-8
Cambridge Analytica al descubierto: filmaciones secretas revelan trucos electorales/c18#c-18

Si quereis miedo, lo vais a tener, hdlgp
Los terroristas de Estados Unidos/c4#c-4
(hoy en dia el big data como el de cambridge analytica/scl group , facebook, google, ... conoce intimamente vuestros miedos, y si los conocen pueden actuar como el demonio con forma de niña de la pelicula "Expediente 39" https://es.m.wikipedia.org/wiki/Case_39 )

Mas vale que nos enfrentemos antes nosotros, entrando a la cueva en la que entró Luke Skywalker en el planeta Dagobah.

«Ese lugar… es fuerte con el lado oscuro de la Fuerza. Un dominio del mal es. Dentro tú debes ir."
"¿Qué hay allí?"
"Sólo lo que llevas contigo.»
―Yoda y Luke Skywalker

V 0
K 11
capitan__nemo

Despues a la hora de enviar un enlace, whatsapp podría crear un tipo de mensaje especial que junto con los enlaces recuperase el preview y lo mandase como un mensaje especial que incluyese la imagen. La persona inicial que enviase la url si recuperaria un preview (un imagen), pero los que lo recibiesen no deberian recuperar nada porque lo recibirían todo en el mensaje del emisor sin necesidad de recuperarlo de nuevo (conectarse a ningun servidor externo y exponer su ip)

V 0
K 11
Candidatas
11
meneos
tecnología Una capa de oro de un solo átomo: los investigadores de LiU crean goldene (eng)
13
meneos
tecnología El ex presidente de Blizzard propone dejar una propina de 10 o 20 dólares a los desarrolladores por sus juegos
10
meneos
tecnología Microsoft levanta un bloqueo de dos años que impedía a estos usuarios de Windows 10 actualizarse a Windows 11
9
meneos
tecnología VASA-1 de Microsoft es un nuevo modelo de IA que convierte fotos en 'caras parlantes' [ING]
18
meneos
tecnología Se suponía que las escuelas simplemente bloquearían la pornografía. En lugar de eso, sabotearon las tareas escolares y censuraron los sitios de prevención del suicidio (EN)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
8
meneos
tecnología El CEO de Google afirma que no entienden por qué su inteligencia artificial aprende cosas inesperadas. Esto son las “cajas negras”
8
meneos
tecnología La nube bajo el mar (ENG)
12
meneos
tecnología Los cómics de F/OSS sobre los orígenes de la cultura hacker, los lenguajes y sus personajes
24
meneos
tecnología Crisis en el videojuego: más de 8.000 profesionales han perdido su puesto de trabajo en lo que llevamos de 2024
6
meneos
tecnología Cómo vencer a los ordenadores cuánticos
11
meneos
tecnología Yolanda Morató: «El uso amateur de un traductor automático no puede sustituir un trabajo profesional, igual que buscar tus síntomas en Google jamás podrá suplir la consulta con un especialista»
21
meneos
tecnología Alguien está haciendo una IA que te podrás follar
12
meneos
tecnología OpenAI y Meta afirman tener listos modelos de IA capaces de "razonar"
7
meneos
tecnología Lockheed Martin presenta el nuevo misil hipersónico Mako, que puede ser transportado internamente por el F-35
6
meneos
tecnología Sierra Space quiere entregar suministros bélicos desde el espacio
16
meneos
tecnología 'Game Over': la industria de los videojuegos se estanca tras el boom de la pandemia
15
meneos
tecnología ASML, la empresa que revolucionó la fabricación de chips y quiere seguir haciéndolo
7
meneos
tecnología Los precios negativos y la actual situación insólita del mercado eléctrico
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
D
editado

bueno nadie esta obligado usar este programa ring.cx va muy bien

V 0
K 11
capitan__nemo

Que whatsapp-facebook ofrezca la opción en los ajustes para que los usuarios decidan (si quieren ser mas infelices o mas seguros y con mayor privacidad)

La otra opción es que las vistas previas se recuperen mediante una especie de proxy de la propia whatsapp que anonimizaria para terceros la recuperación de esa vista previa, no para la propia whatsapp que espiaria datos de las conversaciones privadas de usuarios y grupos (al menos conocerian los enlaces)

Con algun sistema o plugin de permisos para los moviles se deberian de poder bloquear, junto con otros asuntos de cualquier otra app conocida. Seria como una especie de adblock, ublock, firewall, o sistema de privacidad que bloquearia ciertas peticiones de las apps en base a filtrado en el nivel de aplicación.

V 0
K 11
Artok
editado

#15 la privacidad no suscita paranoia y clicks... por lo que no es rentable

V 0
K 10
e

Es un problema con una solución sencilla, que la vista previa sea generada desde los servidores de Whatsapp/Facebook y que sea esta ip la que quede expuesta...

V 0
K 10
D
editado

Traca traca. Metadatos everywhere.
Pa eso utilizo SMS cifrado que revela mi posición geográfica, mi número de teléfono, la hora de envio y recepción de mensajes así como los números y posición geográfica de mis interlocutores.

La IP sólo debería ser divulgada cuando se accediera mediante el navegador web. O si el user agent es de la aplicación sólo desvelar la IP pero no la versión de la aplicación. Utilizar un user agent cualquiera.

V 0
K 9