¿ WhatsApp es seguro ? Demostración

Introducción

Últimamente se está hablando mucho de los problemas de seguridad que está teniendo WhatsApp, por ello os presentamos esta guía, que demuestra alguno de los fallos que tiene.

En base a un par de entradas que he leído en FLU, me he decidido a armar esta guía para obtener de una forma mucho más fácil los datos de las backups de WhatsApp

Requisitos

• Un terminal con WhatsApp instalado
• Acceso físico a los archivos de dicho terminal
• Django 1.4
• OpenSSL

Guía

1. Una vez tenemos garantizado el acceso a los archivos del terminal, buscamos en él la carpeta de WhatsApp, acudimos a “databases” y ahí nos copiamos a nuestro equipo el archivo “msgstore.db.crypt”. A partir de aquí no necesitamos el terminal para nada más.

2. Una vez que tenemos el archivo en nuestro equipo lo pasamos a una carpeta y mediante OpenSSL:
   openssl enc -d -aes-192-ecb -in msgstore.db.crypt -out msgstore.db -K 346a23652a46392b4d73257c67317e352e3372482177652c

Esto permite que lo descifremos. (este código está copiado de FLU, abajo están sus posts, para el que quiera ver por qué se utiliza esto).

Ahora ya tendremos nuestro msgstore.db, podríamos abrirlo con un editor hexadecimal y leer cualquier cosa, pero claro, la vagancia nos puede y esto cuesta su tiempo….

Para ello ha habido gente que ha gastado su tiempo y nos han traído una herramienta fabulosa denominada wForensic, que podéis descargar aquí:

Una vez descargada, pasamos nuestro “msgstore.db” a la carpeta “databases” del script y reemplazamos el que ya había, es opcional pasar el fichero wa.db (contactos), pero para esta guía yo no lo hice.

Una vez tenemos esto, lo único que deberemos hacer es ir a la raíz del script y hacer un ./run.sh para lanzar el script y abrir la dirección local que nos da con nuestro navegador preferido. Lo demás es ir haciendo clics.

Las entradas en FLU son:
http://www.flu-project.com/herramientas-forense-para-ser-un-buen-csi-parte-xxii-forense-en-whatsapp-i-de-ii.html
http://www.flu-project.com/herramientas-forense-para-ser-un-buen-csi-parte-xxiii-forense-en-whatsapp-ii-de-ii.html

Entonces: ¿whatsapp es seguro?

Después de leer el tutorial, muchos nos quedamos con la duda de si WhatsApp es seguro o no lo es tan como pensábamos. A su favor podemos decir que esta guía requiere de acceso físico y esto es un requisito bastante difícil de obtener por parte de un cracker que quiera nuestros datos. Pero debido a los distintos fallos de seguridad que tiene la aplicación, desde Somos Binarios recomendamos no utilizarla para transmitir información confidencial o datos delicados.

Autoría

El autor de esta entrada es Jimeno un usuario de nuestro foro, que nos lo ha enviado, para que lo publicaremos. Desde Somos Binarios le damos las gracias e invitamos a cualquier usuario tanto de nuestra comunidad, como externo a que utilice el formulario y contacte con nosotros para publicar sus artículos o proponernos temas sobre los que escribir.