WhatsApp
Mostrando entradas con la etiqueta WhatsApp. Mostrar todas las entradas
Mostrando entradas con la etiqueta WhatsApp. Mostrar todas las entradas

¿Te espían el WhatsApp? Tools para protegerlo


Hola amig@s y lectores de Underc0de !

Es frecuente que en el blog se comparta información sobre cómo nos espían, o algún mecanismo para mejorar el anonimato y la privacidad a la que tenemos derecho.

Hoy va de cómo defendernos de l@s stalker del WhatsApp.  

Es bien sabido que hay personas que se interesan por los mensajes, contactos y charlas que tenemos por esta red de mensajería instantánea, ya sea por curiosidad, parejas celosas e inseguras, o por simple espíritu de cotillear lo ajeno.


Los amigos de AdslZone, recopilan una serie de aplicaciones para proteger nuestro WhatsApp, y frenar a los curios@s del irrefrenable impulso de leer lo ajeno, a saber:
...

WhatsLock


Esta aplicación permite añadir un PIN o patrón de bloqueo para acceder a WhatsApp junto con otras interesantes funciones como la de mostrar una pantalla falsa a cualquiera que sin saber el PIN o patrón abran la aplicación de mensajería.




Esa pantalla se podrá configurar con conversaciones y perfiles falsos que serán los que aquellos curiosos vean en caso de que nuestro terminal caiga en sus manos. También permite ocultar nuestras fotos y vídeos compartidos a través de la aplicación e incluso dará la opción de ocultar alguno de nuestros contactos, aunque eso sí, para esto será necesario tener rooteado el terminal.


ChatLock+


Además de proteger el acceso a nuestro WhatsApp con un PIN, lo más curioso es que cuenta con un sistema que nos permitirá saber quién ha intentado curiosear entre nuestros mensajes. De esta forma, cualquiera que intente acceder a nuestros mensajes de WhatsApp y trate de averiguar nuestra contraseña de forma equivocada varias veces, el propio sistema detectará que alguien quiere husmear entre nuestros mensajes y usará la cámara frontal del terminal para realizar una foto de forma silenciosa.



Al no utilizar ningún sonido ni flash, el sujeto no se dará cuenta que ha sido fotografiado y posteriormente podremos saber quién ha sido el que ha intentado leer nuestras conversaciones de WhatsApp.

Aquí ChatLock+


Hush Gallery


Si se trata de fotos o videos privados que suelen guardarse en forma automática cada vez que se ve o descarga en la galería de imágenes de nuestros teléfonos o tablets, la aplicación Hush Gallery es una herramienta con la que se puede crear una galería de imágenes con este contenido privado que no queremos que esté visible ni accesible para nadie que tenga nuestro terminal en sus manos de una manera fácil y sencilla.





Hush Gallery está disponible para su descarga de forma gratuita en la Play Store para dispositivos Android. La primera vez que vayamos a abrirla después de ser instalada, nos permitirá crear una contraseña, que será el código de acceso a la galería privada y oculta de nuestro terminal. Después, desde la opción ocultar es posible acceder al contenido recibido por WhatsApp, otras aplicaciones o directamente a la galería de imágenes para seleccionar todos los archivos que queremos ocultar añadiendo a nuestra galería de Hush Gallery.


Para ello, una vez que seleccionamos los archivos a ocultar debemos pulsar sobre el icono de compartir y a continuación cuando se muestren las aplicaciones a través de las que queremos compartir el contenido, veremos como ya está disponible Hush Gallery. La seleccionamos y automáticamente se ocultarán los archivos previamente seleccionados y únicamente los podremos ver accediendo a la aplicación mediante la contraseña creada.
Hay que añadir, que la versión básica únicamente deja ocultar imágenes o fotografías, por lo tanto, si queremos ocultar también vídeos tendremos que hacernos con la versión PRO de la aplicación.
En los enlaces de descarga, podréis leer también los comentarios de los usuarios que las han probado. 
Las recomendaciones de las aplicaciones fueron sacadas de: AdslZone.
Visítanos en Underc0de
Read More

Ve enterándote: el oscuro funcionamiento de las llamadas del WhatsApp



Todo era muy bonito para ser verdad. En los últimos meses WhatsApp, actualmente propiedad de Facebook, ha implementado un gran número de funciones, siendo dos de las más importantes un cifrado punto a punto de las comunicaciones y las llamadas de voz con las que pretenden plantar cara a los abusos de las teleoperadoras. Ambos servicios funcionan bien, aunque según un grupo de investigadores, no todo es tan bonito ni tan privado como parece ser.
El grupo de investigación forense de la Universidad de New Haven (University of New Haven’s Cyber Forensics Research & Education Group) han conseguido romper el cifrado de las comunicaciones del cliente de mensajería con el fin de poder analizar con más detalle el funcionamiento interno tanto de la comunicación cliente-servidor como del protocolo utilizado. Los investigadores de seguridad aseguran que tanto el tráfico de red como los datos que se almacenan en el dispositivo (historial de llamadas, conversaciones, datos de acceso, etc) están muy bien cifrado, y se requiere acceso completo a ambos para poder descifrarlo en una tarea bastante complicada.
Sin embargo, estos investigadores han conseguido descifrar todas las comunicaciones y conseguir acceso completo al tráfico que se establece entre el cliente y los servidores de WhatsApp para analizar, uno a uno, los paquetes que se intercambian entre ambos.
Analizando los datos se ha podido demostrar como la plataforma utiliza el protocolo FunXMPP (nada nuevo) para el intercambio de mensajes. También han querido comprender el funcionamiento del protocolo de las llamadas de voz, algo de lo que WhatsApp no ha facilitado demasiada información desde su lanzamiento, y por ello, al tener control sobre las comunicaciones sin cifrar de todo el proceso de las llamadas de voz, han podido averiguar con más detalle cómo funciona el protocolo, y, por desgracia, qué se oculta tras el proceso de autenticación con el servidor.

Las llamadas de WhatsApp: nuevos detalles sobre su (oscuro) funcionamiento

Entre los datos relevantes conseguidos con el análisis de los paquetes se ha podido comprobar cómo se envían paquetes con los números de teléfono, tanto del emisor como del receptor de la llamada, la duración de las mismas, fecha y hora de estas y una gran cantidad de metadatos más que no se sabe con certeza para qué se utilizan (probablemente para el control del servidor o para asociar los datos recopilados con los usuarios).
También se ha podido desvelar que el códec que se utiliza durante las llamadas es Opus, un códec libre que ofrece un excelente rendimiento (de ahí el buen funcionamiento de las llamadas), así como las direcciones IP de los servidores encargados de controlar estas llamadas.
Sin duda una valiosa información que demuestra, una vez más, la recolección de datos por parte del cliente de mensajería y que ayudará a otros investigadores de seguridad a poder analizar con más detalle tanto la seguridad como el funcionamiento de la plataforma. Tal como afirman estos investigadores de seguridad, esto es solo un primer paso, una puerta abierta a futuras investigaciones.
Tendremos que esperar a ver qué nueva información aparece en el futuro.
Fuente: redeszone.net

 Visítanos en Underc0de
Read More

WhatsApp: modifica la base de datos sin dejar huellas


WhatsApp es sin duda la aplicación de mensajería instantánea más utilizada en todo el mundo. Cada vez las conversaciones que se envían a través de este cliente de mensajería tienen un mayor valor, tanto personal para los usuarios como para piratas informáticos e incluso como pruebas en asuntos legales. Para proteger la seguridad e integridad de estas conversaciones, el equipo de WhatsApp ha aplicado varias medidas de seguridad tanto a las comunicaciones como a los historiales de chat que se guardan en el teléfono, aunque según parece estas medidas no son del todo eficaces. 

Peritos informáticos han conseguido identificar y explotar el fallo de seguridad de WhatsApp, concretamente en la versión 2.12.250 ejecutada sobre dos sistemas Android 5.x y 4.4.x, que permite modificar la base de datos de WhatsApp para editar mensajes sin dejar rastro de la modificación.

WhatsApp utiliza para las conversaciones el software de bases de datos SQLite. WhatsApp en total utiliza dos bases de datos diferentes, la original, que se encuentra sin cifrar, y la copia de seguridad, la cual utiliza sistemas de criptografía simétrica junto al algoritmo AES de clave única para el cifrado y el descifrado de la misma. Mientras que la copia de datos está “protegida” y no nos interesa de momento, vamos a centrarnos en la base de datos original, la que utiliza el propio cliente de mensajería en tiempo real. 

La base de datos que utiliza WhatsApp para mostrar las conversaciones en tiempo real en el propio cliente de mensajería se guarda en plano, sin cifrar como hemos dicho, aunque sí que se encuentra en un directorio de acceso limitado. 

Descargar la base de datos de conversaciones de WhatsApp al PC

Para poder modificar una conversación de WhatsApp lo primero que debemos hacer es tener permisos de root sobre el dispositivo. Una vez con estos permisos habilitados conectamos el smartphone a nuestro ordenador y, a través de la herramienta de desarrollo adb ejecutamos los siguientes comandos:
  • adb devices (nos muestra los dispositivos conectados, útil para saber si todo funciona correctamente)
  • adb shell (nos abre un terminal para controlar el smartphone)


A continuación ejecutamos el comando “su” para conseguir permisos de superusuario en el dispositivo.
  • su
Con estos garantizados nos situamos sobre la ruta de las bases de datos de WhatsApp tecleando en el terminal o shell:
  • cd /data/data/com.whatsapp/databases
A continuación ejecutamos el comando ls -la para mostrar una lista con todos los archivos de dicho directorio. Si nos fijamos en esta lista, uno de los archivos se llamará msgstore.db. Este archivo contiene toda la base de datos de conversaciones de WhatsApp que se guardan automáticamente (y sin cifrar) cada vez que recibimos o enviamos un mensaje.
Una vez confirmado que tenemos el archivo de la base de datos en nuestro smartphone debemos copiarlo al ordenador. Para ello escribimos dos veces “exit” en el terminal para salir del shell y volver a Windows y desde allí tecleamos:
  • adb pull /data/data/com.whatsapp/databases/msgstore.db
El archivo se descarga a nuestro PC, a la misma ruta donde tenemos el binario de adb copiado. Todo listo. Ya podemos empezar a modificar los mensajes que queramos.

Modificar la base de datos de conversaciones

Una vez tenemos la base de datos en nuestro PC debemos descargarnos la aplicación SQLiteStudio con la que la abriremos y modificaremos. Una vez tengamos el programa lo ejecutamos y cargamos la base de datos desde el menú Database -> Add a database y nos conectamos a ella mediante el menú Database -> Connect to the database.
Una vez conectados a la base de datos veremos todas las tablas de la misma, aunque debemos centrarnos en dos:
  • messages
  • messages_fts_content


Lo primero que debemos hacer es identificar la clave privada del mensaje. Para ello lanzamos una consulta a la base de datos con el siguiente comando:

  • select * from messages where data LIKE “%mensaje%”; (sustituyendo mensaje por el contenido que queremos buscar)


Apuntamos en un papel o documento la clave privada del mensaje, o valor de la columna ID, para igualar los cambios en las dos tablas anteriores. A continuación, en la columna “data” de la table “messages” cambiamos el valor del mensaje que hemos enviado por el nuevo que queremos establecer. 


Una vez realizados los cambios que queremos pulsamos sobre el botón “commit” para que estos se apliquen y cambien en la base de datos.
La mitad del proceso ya está hecho. Ahora abrimos la tabla messages_fts_content y en el buscador introducimos la clave privada, o ID, que hemos anotado antes. Veremos una nueva fila con el contenido del mensaje, que aún no ha sido cambiado como el de la primera tabla.
Lo seleccionamos y modificamos de igual forma, pero manteniendo el estilo original de la tabla:
  • Todo el texto en minúsculas.
  • Las palabras separadas por tres espacios.
  • Los signos de puntuación separados de la palabra anterior por un espacio.
Aunque este paso no es obligatorio es recomendable para dificultar aún más el poder saber que la tabla ha sido modificada. Ya tenemos todo listo. Ahora sólo nos queda volver a copiar la tabla a nuestro móvil.

Copiar al teléfono la base de datos modificada de conversaciones de WhatsApp

Una vez que hemos realizado los cambios anteriores en la base de datos es hora de subirla de nuevo al smartphone. Para ello abrimos de nuevo una ventana de MS-DOS y tecleamos:
  • adb push msgstore.db /data/data/com.whatsapp/databases/msgstore.db
La base de datos se ha subido correctamente a nuestro dispositivo, aunque hay un pequeño problema: los permisos. 
Al haber subido una base de datos como usuario adb con permisos de superusuario, el propietario y el grupo de este archivo ahora es “root”. Si queremos borrar todo rastro de haber modificado dicha conversación tenemos que teclear en nuestro terminal:
  • adb shell
  • su
  • cd /data/data/com.whatsapp/databases
  • ls –la
  • chown u0_a88:u0_a88 msgstore.db


Todo listo. Ya podemos abrir nuestro WhatsApp de nuevo y ver cómo los mensajes que hemos enviado y recibido son diferentes. A simple vista es totalmente imposible saber si un mensaje es original o ha sido modificado y siguiendo un análisis forense tampoco es posible saberlo ya que los cambios no han dejado rastro ni en la base de datos ni en nuestro smartphone. 



Según la finalidad que vayamos a dar a esto debemos tener en cuenta que es posible que estemos cometiendo un delito (por ejemplo para presentarlo como pruebas legales) y que siempre hay formas de detectar el engaño (por ejemplo mediante el análisis físico de los chips de memoria, quienes podrían demostrar que hay otro archivo “mstorage.db” que ha sido eliminado previamente. 
Fuente: redeszone.net
Visítanos en Underc0de
Read More

Vulnerabilidad en WhatsApp Web


Las vulnerabilidades afectan a todos los programas y el revuelo de su descubrimiento depende de la aplicación en cuestión. En este caso hablamos de un agujero de seguridad en la versión web de WhatsApp que permite instalar malware en el PC que ejecute este servicio.
WhatsApp Web permite utilizar la popular aplicación de mensajería desde un navegador de Internet. El servicio fue lanzado en un primer momento para los usuarios con smartphones Android, BlackBerry y Windows Phone y recientemente ha dado el salto a los usuarios de iPhone, después de los problemas iniciales de compatibilidad. El servicio web se ha ido actualizando progresivamente y cuenta con casi todas las funcionalidades que encontramos en la aplicación de móviles, replicando la experiencia en el navegador.
Sin embargo, no todo son buenas noticias para WhatsApp Web. La firma de seguridad CheckPoint afirma haber descubierto una vulnerabilidad que permite atacar al ordenador que ejecuta el servicio. Esto permitiría a los hackers tomar el control del equipo para instalar malware de forma remota o ejecutar código malicioso. Para ello, el atacante utilizaría una vCard, que contiene el número de teléfono y datos de la agenda, con el código malicioso incluido. Bastaría con abrir la vCard para que el PC quedara comprometido.
WhatsApp ha reconocido la existencia de esta vulnerabilidad y ha lanzado una actualización de seguridad para WhatsApp Web. Todos los usuarios deben comprobar que están ejecutando la versión v0.1.14481 o superior, ya que contiene el parche que evita que el ordenador en cuestión quede comprometido. Desde CheckPoint recomiendan también la limpieza de la caché del navegador.
Fuente:adslzone.net
Read More

Dicta tus mensajes por WhatsApp en Android


El asistente virtual de la compañía de Mountain View es cada vez más inteligente, y hasta ahora hemos venido disfrutando de funciones más que interesantes. Ahora bien, si está diseñado para la interacción por voz fundamentalmente, entonces había algunas funciones que estaban faltando en el servicio. Exactamente, pero Google ya ha comenzado a cubrir estas carencias, como la de dictar mensajes de WhatsApp directamente con nuestra propia voz.

Tienes las manos ocupadas, pero necesitas mandar un mensaje a través de WhatsApp. ¿Puedes? Sí, ahora sí que puedes. Sólo hace falta que le digas a tu teléfono inteligente o tableta “Ok, Google”, lo que hará que comience la actividad del asistente virtual de Google. Una vez hecho esto, iniciado Google Now en el modo escucha, ya podremos dictar el mensaje que queremos enviar a través de WhatsApp, que no podemos olvidar es el servicio de mensajería instantánea más utilizado actualmente a nivel global.

Con este movimiento, la compañía de Mountain View demustra su interés por el servicio adquirido por Facebook el año pasado, y como ya sabemos pronto se producirá un mayor acercamiento con la integración de Google Drive como medio para el almacenamiento de copias de seguridad de nuestras conversaciones. Sin duda, un movimiento inteligente por parte de Google, y que da a sus usuarios una utilidad que estaba siendo muy solicitada. Ahora bien, no se han olvidado de hacer también lo propio con homólogos como Telegram y Viber.

El funcionamiento es bien sencillo, como ya adelantábamos, tanto como decirle a nuestro terminal “Enviar un mensaje de WhatsApp a…” y comenzará la redacción de nuestro mensaje de WhatsApp. Una vez hayamos terminado, Google Now nos devuelve la confirmación de envío del mensaje, lo que permitirá que evitemos mensajes erróneos, o que podamos pensarlo antes de decir una barbaridad, claro. La nueva función se despliega de forma independiente al sistema operativo Android, dado que forma parte de la aplicación “Búsqueda de Google”, es decir, Google Now.
Fuente: adslzone.net
PD: Eso sí, para usar esta nueva función debes tener la última versión de la app de Google y usar comandos en inglés, aunque prometen que en un futuro también será compatible con otros idiomas.
Read More

WhatsApp: en breve la opción marcar como no leído



Según difundió el portal ADSLZone, el servicio de mensajería instantánea trabaja en una nueva función que habilitaría a los usuarios a marcar como no leídos los mensajes. Si se concreta, muchos se sentirán aliviados...


El sitio web halló la información en el centro de traducción oficial de WhatsApp, en el que usuarios participan en traducir nuevas funciones de la aplicación a diversos idiomas antes de que sean lanzadas. Y explica que la idea es emular la función de los correos electrónicos que permiten modificar el estado de lectura de los mensajes recibidos. Esto no afecta al usuario que envió el mensaje, pero sí a la forma en que se muestran los textos recibidos en la bandeja de entrada. Ese es el modelo que WhatsApp quiere adoptar.



Detalla que la función "marcar como leído" estará disponible en el listado de chats y a partir de un "swipe" hacia la derecha. Es decir, se podrá desplegar la nueva característica desplazando una conversación hacia la derecha, igual que si la intención fuera eliminarla.



En principio, sólo se implementaría para los usuarios de iPhone.


Sin embargo, lo que todo usuario de Whatsapp quiere saber es si el emisor del mensaje verá modificación alguna en el "doble check" azul o, por el contrario, no le afectarán los cambios sobre el estado de lectura. Eso aún es un misterio.

Fuente: infobae
Read More

Como enviar mensajes anónimos por WhatsApp



¿Alguna vez has querido mandar un WhatsApp anónimo por cualquier motivo? A diferencia de las llamadas de voz, que permiten eliminar la identificación y aparecer como “número oculto” o “número privado”, la mensajería instantánea no permite hacer esto. Ahora bien, existen servicios online que nos permiten utilizar la mensajería instantánea, en este caso WhatsApp, de forma anónima.

Ya sea un mensaje de texto, una nota de voz, una fotografía, un vídeo, una vCard o tu ubicación lo que quieras enviar… con esta herramienta puedes hacerlo. Además, te ofrece la posibilidad de enviar un mensaje de WhatsApp anónimo sin nombre, o bien un mensaje de emergencia en el que puedes hacer aparecer tu nombre. Todos estos mensajes, que como es evidente son gestionados por los servidores de Wassame, que presta el servicio, pueden mostrarse de forma pública, o no.

En la captura que acompaña al artículo podéis ver cómo funciona la herramienta, accesible directamente desde el navegador web. En un primer menú horizontal escogemos si queremos enviar un mensaje de texto, una fotografía, un vídeo, una nota de voz, una ubicación o una tarjeta de contecto vCard. A continuación, si queremos un mensaje completamente anónimo, o bien incluir nuestro nombre.



Por último, como es evidente, queda incluir nuestro archivo adjunto, o bien rellenar el cuadro de texto con el mensaje que queremos enviar. Como sistema de seguridad contra bots, este servicio web incorpora un captcha, el cual será necesario que rellenemos correctamente para poder enviar el mensaje correspondiente. Su funcionamiento es así de simple y, siguiendo estos sencillos pasos, enviaremos el mensaje anónimo que queramos al número que hayamos escogido.

Anteriormente existían otras herramientas similares a esta que, por unos motivos u otros, han sido retiradas o han dejado de funcionar. Por el momento, Wassame es una de las únicas alternativas para enviar mensajes de WhatsApp de forma anónima.
Read More
Suscribirse a: Entradas (Atom)