El popular servicio de mensajería WhatsApp siempre ha estado en el punto de mira de expertos y usuarios por motivos de seguridad y privacidad. Ahora se ha descubierto que es posible secuestrar las cuentas de los usuarios de forma relativamente sencilla, dejando a cientos de millones de usuarios vulnerables no sólo a manos de ciberdelincuentes, sino también de personas sin ningún conocimiento técnico.
Un truco que permite a cualquiera tomar el control de otra cuenta de WhatsApp, sin necesidad de conocer el código de acceso del móvil, su PIN. Lo único que necesita el atacante es el número de teléfono de la víctima y tener acceso al smartphone durante unos segundos, aún con la pantalla bloqueada.
Este truco ha sido publicado por el consultor de seguridad Wang Wei en The Hacker News, aunque explica que no se trata de una vulnerabilidad, o de un fallo de seguridad como tal de la aplicación. No se trata de “hackear” WhatsApp, sino de aprovecharse de la forma en la que WhatsApp está diseñado y cómo funciona el mecanismo de configuración de las cuentas.
También avisa, que su publicación no tiene como objetivo animar a los usuarios a intentar usar este truco contra otros, sino avisar y recordar a los lectores de que deben ser más cuidadosos (aún) con sus smartphones, una advertencia que suscribimos. Ten cuidado a quién le dejas tu móvil, y sobre todo, no lo dejes desatendido ni siquiera por unos segundos.
¿Cómo obtener el control de otra cuenta de WhatsApp?
En unos simples pasos, alguien se puede adueñar de la cuenta de mensajería instantánea de otro usuario. El truco permite al atacante obtener el control de la cuenta de WhatsApp de la víctima, y lo más sorprendente: funciona independientemente en todos los sistemas operativos, Android, Windows o iOS.
En primer lugar, hay que configurar una cuenta de WhatsApp en un móvil nuevo, usando el número de teléfono de la víctima.
Durante el proceso, WhatsApp llamará al número de teléfono de la víctima y enviará un PIN que tendrá que ser introducido para autentificar la cuenta. Aquí llega el problema. Si una persona, por el motivo que fuera, tuviera acceso a nuestro móvil por unos segundos, simplemente tendría que solicitar el PIN en ese momento y coger la llamada en ese instante. Aunque tuviéramos la pantalla bloqueada, código de acceso o patrón, cualquiera podría coger una llamada.
Así de simple. Solamente tendría que introducir el código en la cuenta nueva y acceder a la cuenta de WhatsApp de la víctima.
Como sabemos, WhatsApp sólo permite usar un mismo número de teléfono en un dispositivo, por lo que inmediatamente dejaría de estar disponible en el terminal de la víctima.
En este vídeo se muestra este truco, que como explican, es aún más grave para los usuarios de iPhone que haya configurado Siri para estar disponible en la pantalla desbloqueada. De esta forma, todos los contactos están disponibles desde Siri, lo que daría a cualquiera acceso incluso a su número de teléfono sin necesidad de acceder al dispositivo más allá de la pantalla bloqueada.
[youtube http://www.youtube.com/watch?v=uIZhSNgpmOY?rel=0]
[Vía: globbsecurity.com]