Esta es una característica peligrosa que atenta contra la privacidad de las personas, así que lo mejor es que la deshabilites.
Realmente no sabíamos nada de esta característica, pero parece bastante peligroso que una persona pueda saber por qué dirección IP otra persona está conectándose a WhatsApp.
Tal como te hemos comentado en otros post de GadgetPasion, WhatsApp sigue siendo uno de los clientes de mensajería instantánea más inseguro y tiene ciertos problemas en cuanto a la seguridad. Hoy te vamos a mostrar otro fallo de seguridad viendo el interés que los lectores tienen en la seguridad de esta mensajería instantánea
El estudio de este fallo lo publicaron Luis Delgado y Ferran Pichel en Security By Default, no solo para aprovechar esta característica con el fin de localizar la dirección IP de una persona, sino como fallo de seguridad que provocaba una Denegación de Servicio en la app, además de poder generar un consumo no controlado de recursos.
El problema de la seguridad radica en que por defecto en las nuevas versiones de WhtasApp para Android (en iPhone se está introduciendo esa característica), la aplicación muestra una imagen de previsualización de cualquier URL que ha sido enviada como mensaje de chat en WhatsApp.
La funcionalidad de mostrar una previsualización en miniatura de una imagen de la dirección web compartida es común en cualquier red social en la que se permite hacer una publicación de URLs, como por ejemplo Facebook o Twitter, y por eso deben haberla introducido. El detalle sin embargo es sutil como menciona Chema, y cambia por completo el escenario, ya que en Facebook o Google+ la imagen es descargada desde la red social cuando es visualizada por un cliente, pero al hacer que esto sea por defecto en un cliente móvil los riesgos de seguridad son equivalentes a cuando se permite descargar una imagen remota por defecto en un correo electrónico.
TAMBIÉN TE PUEDE INTERESAR:
Enviando por mensaje una URL de un sitio web que tenga una imagen que sea incluida desde un servidor web controlado, fuerza al cliente de WhatsApp para Android a hacer una petición al servidor web para descargarse la imagen.
En esa petición se puede ver la dirección IP desde la que el cliente de WhatsApp para Android, es decir, el móvil de la persona que está detrás de un número de teléfono, se está conectando. La ubicación geográfica de las direcciones IP no son 100% exactas y puede que salgan cosas dispares a veces, pero supone un riesgo para la privacidad de una persona en muchos casos en los que sí que se puede geo-posicionar más o menos correctamente dicha dirección IP.
[HTTP_REMOTE_IP] => 213.xxx.xxx.xxx
[HTTP_USER_AGENT] => Dalvik/1.6.0(Linux; Android 4.1.2;GT-I9100 Build/JZO54K)
Además de eso, en la petición va también el USER-AGENT, donde se dan muchos detalles del software que está corriendo tras un determinado número de teléfono, que en un esquema de ataque dirigido puede ser importante, sobre todo hoy en día que se conocen bugs para los terminales Android no actualizados. No hay que olvidar que los usuarios de terminales con Android, debido a la dispersión de hardware, son los que menos actualizados tienen el sistema operativo, así que son los más expuestos a exploits conocidos.
Si tienes WhatsApp para Android lo mejor es que desactives esta opción, que aporta más bien poco para tu seguridad y privacidad. Además, como precaución general procura no seguir enlaces que recibas por mensajes de WhatsApp, ya que aunque no se haga la carga automática de las imágenes, si haces clic en un enlace que recibes por WhatsApp y te lleva a un servidor web controlado, vas a hacer pública tu dirección IP, y sucederá lo mismo.
