espia whatsapp - ncn 2k12
DESCRIPTION
These are the slides of my conference at No cON Name 2k12 where I show some weaknesses of WhatsApp and the attacks that can be done,TRANSCRIPT
WhoamI
Espía WhatsApp
Pablo San Emeterio López
2k12
2 y 3 de Noviembre
Barcelona
WhoamI
Ingeniero Informatico
Master en A&S
CISA, OCA
R&D en Optenet
Agenda
1.WhatsApp
2.WhatsAPIs
3.Ataques
4.Ataques en positivo
5.Conclusiones
Agenda
1.WhatsApp
2.WhatsAPIs
3.Ataques
4.Ataques en positivo
5.Conclusiones
XMPP Personalizado → FunXMPP
Imagen, audio y video → Servidor HTTP
WhatsApp Authentication
JID && password
Android JID: Nº Movil passwd: IMEI (*#06#)
IOS JID: Nº Movil passwd: MAC
WhatsApp Authentication
Agenda
1.WhatsApp
2.WhatsAPIs
3.Ataques
4.Ataques en positivo
5.Conclusiones
WhatsAPIs
WhatsAPIs + Loggin
Agenda
1.WhatsApp
2.WhatsAPIs
3.Ataques
4.Ataques en positivo
5.Conclusiones
Sniffar tráfico en una red Wi-Fi
MITM
QUÉ NO SON ESTOS ATAQUES
Ataques
Spam
Flood
Suplantación
Espía
Agenda
1.WhatsApp
2.WhatsAPIs
3.Ataques
4.Ataques en positivo
5.Conclusiones
Ataques en positivo
No todo es malo
Espía→Control Parental(logger/filtro)
Spam → RSS, recordatorios
Flood → Despertador / Alertas
Suplantación → X
Agenda
1.WhatsApp
2.WhatsAPIs
3.Ataques
4.Ataques en positivo
5.Conclusiones
Conclusiones
Loggin deficiente de WhatsApp
No modificable por el usuario
Asociado a elementos físicos del dispositivo movil
Fácilmente obtenibles
Un password configurable por el usuario bastaría para evitar este ataque
Cuidado con lo que se ”WhatsAppea”
Preguntas