En este artículo voy a comparar desde el punto de vista de la seguridad, los servicios de mensajería móvil más utilizados. En concreto hablare de Whatsapp, Viber, Line, Skype, Google Hangouts y Spotbro
WHATSAPP
Whatsapp fue el primer servicio de mensajería que ofrecía un
servicio de mensajería móvil gratuita en
un tiempo en que su competidor eran los SMS.
Hasta la fecha Whatsapp ha sido descargado más de 200
millones de veces[1] sin
embargo desde un punto de vista de la seguridad, es sin lugar a dudas el peor
de los cinco que aquí se comparan.
En Marzo de 2011[2]
se tuvo noticia de las primeras deficiencias de seguridad de whatsapp. Por una
parte, se supo que todo el tráfico, mensajes, nicks, números de teléfono... todo
iba en claro. El tráfico se conectan al puerto 443 (un puerto usado para las
conexiones HTTP seguras) del dispositivo, sin embargo nada de todo lo que se
enviaba o recibía iba cifrado.
Cualquiera conectándose a la misma red Wi-fi podía escuchar
nuestras conversaciones en vivo.
En Junio de 2011[3]
(3) supimos que las bases de datos internas de whatsapp del movil son bases de
datos sqlite que no están cifradas. Al abrir la base de datos almacenadas en el
móvil nos encontramos con que están ahí todos los contactos, todos los mensajes
enviados y recibidos, e incluso las posiciones geográficas donde se estaba en
el momento de enviar los mensajes…
Y no solo eso, incluso las conversaciones borradas aparecen
en la base de datos, por lo que nunca se llegan a borrar físicamente.
Además se supo que whatsapp genera unos ficheros de log que
nos aporta aún más información.
Ya podíamos, accediendo a un
dispositivo con Whatsapp leer todas las conversaciones del dueño… sólo nos
quedaba poder suplantar su identidad. Hasta el momento no podíamos conseguirlo
puesto que en el proceso de autenticación, aunque no se pedía ninguna
contraseña, whatsapp seguía algún procedimiento de autenticación desconocido.
Unos meses después[4]
(En febrero de 2012) se supo que en dispositivos Android, la contraseña del
servicio de autenticación era el MD5 (una función matemática) del código IMEI
del móvil puesto al revés.
Genial, sabiendo esto y conociendo
el código IMEI del móvil de nuestra víctima ya podíamos suplantar su identidad
(si tenía un dispositivo Android). Saber el código IMEI no es nada difícil, hay
que marcar *#06# para ver el IMEI en el teclado del dispositivo.
En iOS[5]
no tardó en saberse que dicha contraseña se basaba en la MAC Address (es decir
en la dirección física única del la interfaz de red) del dispositivo, que puede
obtenerse también de una forma muy sencilla.
En Marzo de 2012[6]
se supo que se podían rastrear los estados de todos los móviles que se deseara
registrados con whatsapp. Esto es posible porque el servidor de Whatsapp no
limita las peticiones que recibe y si queremos enviarle 10.000.000 de
peticiones podemos hacerlo.
Otro fallo de seguridad del que
se tuvo constancia no mucho más tarde[7]
es que un usuario puede mandar mensajes a quien quiera (al igual que ocurre con
los SMS), tan sólo conociendo su número de teléfono. Teniendo en cuenta que el
envío no tiene coste y se puede automatizar sencillamente es perfectamente factible
la recepción de mensajes de SPAM a través de Whatsapp.
Pero no solo eso, también se
puede automatizar el envío masivo de mensajes contra un único destinatario y
ocasionarle un DoS, dejándolo KO hasta que elimine la aplicación, desactive los
datos o alguna otra medida similar.
El flood y el spam son peligrosos
pero si además le sumamos la suplantación se abren nuevos escenarios que pueden
dar lugar a Phishing o envío de URLs que traten de ejecutar exploits contra el
navegador de la víctima.
Corrección y evolución
Whatsapp ha ido corrigiendo
algunas de estas deficiencias, pero no todas. En Agosto de 2012[8]
comenzaron a cifrar el tráfico de mensajes, números, etc. sin embargo la gran
mayoría de los usuarios todavía tardó varios meses en renovar su app. También
cambiaron el procedimiento de autenticación, de manera que éste no se basara en
el IMEI o la MAC Address si no que la contraseña era generada en remoto en los
servidores de whatsapp y era diferente en cada reconexión.
Recientemente se ha sabido [9] que,
aunque esto es correcto y funciona bien, esta contraseña se almacena en claro en una de las bases de datos del dispositivo móvil, por lo que sigue siendo posible suplantar la identidad del otro usuario.
Dada la multitud de
vulnerabilidades que Whatsapp presenta, existen en el mercado multitud de páginas
web, apps y scripts que permiten hacer todo tipo de maldades y perrerias a
whastapp, desde descifrar las bases de datos internas, hacer análisis forenses
automáticos de del whatsapp de un dispositivo móvil, hacer ataques DDoS contra
un numero conocido, conocer el estado de cualquier número de teléfono, ver la
imagen de estado de cualquier teléfono…, etc.
SPOTBROS
De los servicios aquí analizados
es sin duda el menos popular en cuanto número de descargas. Recientemente
anunciaron que habían sobrepasado el millón de descargas, pero su crecimiento
está siendo muy rápido y además es una de los servicios de mensajería que más
en serio se toma la seguridad de los datos y los mensajes de los usuarios.
Spotbros incorpora
características de seguridad bastante interesantes. De entrada, cuando te
registras en la red, la contraseña la escoges tú, no es tu IMEI, no es la MAC
de tu tarjeta Wifi.
Las comunicaciones van cifradas
usando el algoritmo AES256 entre la App y el Servidor. El algoritmo AES256 es
uno de los algoritmos de cifrado más seguros que existen. Esto hace imposible
el espiar conversaciones que estén en la misma Wi-Fi que nosotros.
Por otra parte, los datos (fotos,
etc) se almacenan en los servidores y se eliminan en un periodo de tiempo no
superior a 30 días.
Además Spotbros, al contrario que
en whatsapp, no existe 'auto-aceptación' de contactos si ambas personas no se
tienen entre sí en la agenda. Esto hace imposible el envío de SPAM, como
podíamos hacer con whatsapp.
El SBCode (SpotBros Code) es el
identificador del usuario en SpotBros. Al descargarte la aplicación se te
asigna uno. Esto significa que puedes hacerte amigo de otras personas sin
necesidad de darles el número de teléfono únicamente enviándoles el SBCode o el
mail.
Además, se pueden encontrar comentarios[10]
indicando que la forma de gestionar los incidentes de seguridad es muy efectiva
y responsable, frente al mutismo de WhatsApp al reportar fallos.
LINE es, tras Whatsapp la aplicación de mensajería más usada
con un total estimado de 150 millones[11]
de descargas, sobre todo en España y sudamérica.
LINE cuenta a priori con una
seguridad mucho mayor que la de WhatsApp. El cifrado de LINE resulta mucho más
robusto, los mensajes que se envían desde Line están completamente cifrados, aunque
se desconoce a día de hoy el algoritmo de cifrado que se usa.
Además, si alguien se hace con
nuestro número de teléfono (por los medios que sean) y nos inicia una
conversación en LINE, una ventana se abrirá para preguntarnos si conocemos a
esta persona y si queremos aceptarla o bloquearla.
Otra ventaja respecto a whatsapp
es que la aplicación funciona en base a un nombre de usuario, por lo que se
puede utilizar desde cualquier dispositivo (smartphone, tablet u ordenador) y
permite agregar contactos en base a un ID, que puede ser diferente del nombre
del contacto.
En LINE aunque es posible acceder
a la base de datos sqlite de la aplicación[12]
y los mensajes se encuentran todos en esta base de datos, éstos los mensajes
están cifrados con un algortimo aún desconocido públicamente.
Otra mejora de LINE es que se le
puede poner una contraseña a la app en el móvil para que nadie más que nosotros
podamos abrirla.
En definitiva, sin ser la panacea es mucho más seguro que
whastapp.
No hay comentarios:
Publicar un comentario