Una vulnerabilidad de WhatsApp permite interceptar la posición del usuario
Descubren una nueva vulnerabilidad en WhatsApp que hace que sea posible detectar nuestra posición geográfica por un tercero interceptando la imagen de la ubicación que se transmite con la aplicación cuando la compartimos con algún contacto en una conversación.
WhatsApp vuelve a ser el centro de la polémica en torno a la privacidad en Internet a raíz de la nueva vulnerabilidad que se ha descubierto en una de sus funciones. En concreto se trata de la que permite compartir con otros amigos nuestra posición y que en la aplicación se gestiona mediante el envío de una miniatura de imagen de Google Maps con nuestra situación geográfica.
Investigadores del grupo Cyber Forensics Research & Education de la Universidad de New Haven, como recogen nuestros compañeros de ADSLZone, han descubierto que mientras WhatsApp tiene cifradas, mediante el protocolo SSL, las conexiones entre los usuarios y sus servidores, se les ha olvidado tapar un resquicio que permitiría a un tercero, ya sea un hacker o una agencia de seguridad como la NSA, intervenir, modificar o ver la imagen que enviamos cuando compartimos nuestra posición, eso sí, siempre que lo hagamos mientras estamos conectados a una red Wifi pública o desconocida que puede ser intervenida por un tercero.
Esto ocurre porque WhatsApp, para obtener la miniatura que se envía a los contactos, primero hace una consulta con Google Maps a partir de los datos de geolocalización que se obtienen en el momento que el usuario pulsa esta opción. Hasta ahí no hay ningún problema pero el servicio de mensajería descarga la imagen que se genera en Google Maps desde un canal no cifrado del servicio de mapas del buscador de Internet. Ahí es donde, como se puede ver en el vídeo, quien lo desee puede realizar un ataque de los denominados «man-in-the-middle» e interceptar esta imagen exponiendo la posición del usuario a ser localizado.
Por otra parte, este error está presente en la versión actual de Android que se puede encontrar en Google Play pero, quizás espoleados por la llamada de atención a Facebook para que proteja mejor la privacidad de los datos en su recién adquirida compañía, este error está subsanado en la beta que se ofrece desde la web de la compañía. Han anunciado que pronto parchearán este fallo en una actualización para todos los usuarios y que, mientras tanto, no se comparta la posición geográfica mientras estamos conectados a una WiFi pública o desconocida.
Fuente: The Hacker New