El fallo ha sido descubierto por un usuario llamado bhdresh, que ha creado incluso una prueba de concepto en la que demuestra cómo funciona la vulnerabilidad y cómo se le puede sacar el partido para obtener la dirección IP de una persona con tan sólo realizar una llamada a través de la app.
Cualquiera puede conocer tu IP a través de WhatsApp
El fallo de seguridad funciona incluso en la última versión de la app. Para ello, primero hay que establecer un script que pueda leer el tráfico que generamos al realizar una llamada o videollamada en la app. Tras ello, la aplicación del emisor trata de establecer una conexión con la dirección IP del receptor. Al filtrar la dirección IP del servidor de Facebook y WhatsApp del destinatario, es posible revelar su dirección IP sin que el usuario lo sepa.
Con esto, los usuarios pueden conocer las direcciones IP públicas para conocer la ubicación aproximada de estos usuarios, y así poder seguir sus movimientos mediante la creación de un historial de ubicaciones, pudiendo saber por ejemplo si se encuentra o no fuera de casa.
Para llevar a cabo el ataque es necesario, en primer lugar, tener el móvil y el ordenador conectados en la misma red WiFi. Posteriormente, se ejecuta el script que ha publicado en su página de GitHub, y con el que el ordenador del atacante actúa como un router a ojos del móvil, de manera que recopila todo el tráfico.
Tras ello, ya sólo queda llamar a cualquier usuario de WhatsApp. La llamada tiene que llegar a establecerse entre ambas partes, y a partir de ahí ya podemos colgar, ya que el script mostrará ya la dirección IP del destinatario.
Facebook dice que no lo va a arreglar
El usuario que ha descubierto esta vulnerabilidad reportó el fallo a Facebook el 14 de octubre de 2020, pero la red social dijo que este funcionamiento era el esperado y que no había nada que parchear, por lo que no iban a dar recompensa. El único consejo que daban era usar una VPN si no querían que su dirección IP se viese expuesta.
En marzo de 2021, Signal introdujo un mecanismo para redirigir las llamadas a través de un servidor para ocultar la dirección IP real del destinatario y que este método no funcione. Por ello, bhdresh volvió a preguntar a Facebook si podían implementar algo así, y dijeron que no, que la implementación actual funciona sin problemas. Por ello, nuestra dirección IP está expuesta ante cualquiera que nos llame, por lo que la única solución es usar una VPN, no coger llamadas de desconocidos, o incluso bloquear las llamadas en WhatsApp.
WhatsApp permitirá recuperar cuentas baneadas
Si has estado usando aplicaciones de terceros de WhatsApp o has incumplido de alguna forma las condiciones de uso de la app, es probable que te hayan baneado. Contactar con el servicio técnico puede que no haya resultado fructífero, pero por suerte WhatsApp va a permitir solicitar una revisión de nuestra cuenta si ésta ha sido baneada.
Esta función permitirá, en un plazo de 24 horas, recuperar nuestra cuenta si realmente no hemos incumplido las condiciones de la app. Cuando la cuenta se desbloquee, recibiremos una notificación en el móvil.
