Tiempo

Tiempo en Madrid

jueves, 10 de mayo de 2012

Registro de TU Me. Competencia de WhatsApp

NUEVA APLICACIÓN DE MENSAJERÍA PARA IPHONE.
Registra cualquier número en TU Me La entrada de hoy pretende ser un resumen rápido desde el punto de vista de seguridad de la aplicación TU Me, presentada ayer por Telefónica para móviles iPhone y que se ha mostrado en Internet como la competencia de WhatsApp. 

Detrás de TU Me se encuentra la compañía jajah, con sede en California pero origen israelí, está especializada en VoIP y fue adquirida por Telefónica en 2010. Por lo que parece, todo ha sido desarrollado fuera de España y sus sistemas también se encuentran en California. Teniendo en cuenta la experiencia ganada de ver como funciona WhatsApp he comprobado algunos de los fallos que hemos encontrado y contado. En algunos casos los resultados son buenas noticias y en otros no.


El registro solo se puede hacer mediante la recepción de un SMS, sin posibilidad de recibir una llamada u otro método de validación, como ocurre con su amigo verde. Cuando se introduce el número, se manda una petición https con ese número de móvil, TU Me responde por SMS un código pin de tan solo cuatro números para verificar que ese teléfono es de nuestra propiedad, ya que como último paso hay que introducirlo en la aplicación, para que sea nuevamente valido. El proceso tendría un esquema similar a esto: Registro en TU Me Desgraciadamente el número de veces que se introduce el PIN no está controlado y con una herramienta como burp es muy fácil automatizar el proceso y registrar el número que queramos en unos minutos. En otro orden de cosas, revisando el directorio de la aplicación y la base de datos de conversaciones que se almacena en el fichero Connect.sqlite, me he encontrado que guarda la geo localización de todos los mensajes. Aunque no sea necesaria ni se solicite. Una vez mandas tu posición, los siguientes mensajes también llevarán esta información.



Con todo lo que ello implica. ¡No hemos aprendido! 

  • Connect.sqlite (geolocalización) 
  • La sorpresa, esta vez buena, ha sido encontrar que las imágenes compartidas no son públicas y requieren autenticación para acceder a ellas.
  • Además de estar solo disponibles por SSL, a diferencia de WhatsApp que cualquiera puede acceder a ellas si conoce la ruta y se sirven sin cifrar.
  • Almacenamiento de imágenes en https://store.yarnapp.com 
  • También las conversaciones se hacen usando protocolos cifrados, por lo que será difícil encontrar herramientas del tipo WhatsAppSniffer.

Publicado por en
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)