En febrero de 2019 me puse en contacto con el equipo de Facebook en relación con un error que encontré en la función de recordatorio de verificación en dos pasos de WhatsApp, una función destinada a ayudar a los usuarios a recordar su PIN.
{% include video id="KnD_BiSrTcU" provider="youtube" %}
Whatsapp Two-Step verification?
La verificación en dos pasos es una función opcional que añade más seguridad a tu cuenta. Cuando tienes activada la verificación en dos pasos, cualquier intento de verificar tu número de teléfono en tu WhatsApp debe ir acompañado del PIN de seis dígitos que has creado con esta función.
Para más detalles, consulte las preguntas frecuentes de Whatsapp. https://faq.whatsapp.com/en/android/26000021
¿Cómo funciona?
Para ayudarle a recordar su PIN, WhatsApp le pedirá periódicamente que lo introduzca. No hay opción para desactivar esto sin desactivar la función de verificación en dos pasos.
¿Te has fijado en que "No hay opción para desactivar esto sin desactivar la función de verificación en dos pasos"?
¿Cómo encontré el error?
Mientras utilizo WhatsApp me pide el PIN y empiezo a hacer cosas raras en mi iPhone para ver cómo reacciona la aplicación hasta que descubro que si muevo el iPhone a derecha o izquierda y abro WhatsApp estando en esa posición, me permitirá abrir la aplicación y acceder sin desactivar la función de verificación en dos pasos.
No voy a tomar el crédito por este descubrimiento, tengo que confesar que mi niña me enseña cómo hacer cosas raras en mi iPhone, ella siempre está haciendo cosas raras en todos los pueblos smartphone's así, este error tiene su nombre mi princesa 🙂
El error afecta a iOS y la última WhatsApp, lo probé en el iPhone 8 plus & iPhone 6 (aunque esto doesn't rotar la pantalla de inicio), puede afectar a Android u otros iPhone's, que's hasta usted para probar e informar.
Error notificado a Facebook
Si encuentras un error en una de las aplicaciones de Facebook, puedes informar de ello a través de este enlace: https://www.facebook.com/whitehat/
Dado que este fallo se encuentra en la función de recordatorio y no afecta al proceso de registro ni en modo alguno a tu privacidad. No fue considerado como un problema de seguridad. Aquí su respuesta con respecto a mi informe:
Estoy de acuerdo con el equipo de Facebook, ya que esta verificación en dos pasos no es una autenticación de dos factores, sino un recordatorio para ayudar al usuario a recordar su PIN.
Aunque estoy de acuerdo con el equipo de Facebook, me gustaría preguntarte: ¿qué opinas de su respuesta? ¿Crees que es un fallo de seguridad o también estás de acuerdo con ellos?
Conclusión
Como Especialista en Seguridad a veces complicamos demasiado las cosas cuando buscamos vulnerabilidades de seguridad o bugs en las aplicaciones. Numerosas veces me encontré tratando de hacer cosas ninja en un Pentesting, Aplicación Web o juego CTF y la solución era mucho más simple de lo que pensaba en primer lugar.
Sólo quiero recomendar a todos los profesionales de la seguridad que empiecen a arreglar los problemas de seguridad de frutos maduros en sus redes, aplicaciones, sistemas, etc., que puedan causar un gran impacto en sus operaciones, y luego pasen a construir defensas contra amenazas avanzadas o cualquier 0 días que se cuele en twitter.
Gracias por leerme. 🙂
¡Que Dios te bendiga!
Servir a Cristo no es una tarea, sino una relación. Amigos de Dios Jn 15:15
