WhatsApp es el servicio de mensajería con mayor alcance en el mundo, pero no es precisamente la más segura. Debido a la “cercanía”, muchas personas no tienen problemas en intercambiar fotos, archivos o recomendaciones en esta red social. Sin embargo, el descubrimiento más reciente podría hacer reconsiderar esto, porque al hacerlo, no solo estás compartiendo información, ya que tu IP también quedaría al descubierto.
Según Rahul Kankrale, un investigador de seguridad web, existe una forma de divulgar la dirección IP de un usuario en WhatsApp, con tan solo compartir un enlace. Todo parece indicar que la vulnerabilidad está en la vista previa de las URLs que se comparten por este medio.
Kankrale explicó en Twitter, que un script en PHP permite obtener la dirección IP, al cargar la vista previa de cualquier enlace, pero eso no es todo. También se puede conocer la versión de la aplicación y guardar estos datos en un servidor.
En Medium, compartieron paso a paso el proceso realizado por el investigador
Lo primero que hace es crear un archivo PHP y un archivo de registro en un servidor. El siguiente código debe añadirse en la meta-descripción:
<meta property=”og:description” content=”<?phpecho $_SERVER[REMOTE_ADDR]; $line = date(’Y-m-d H:i:s’) . ” – $_SERVER[REMOTE_ADDR]”; echo $line;file_put_contents(’visitors.log’, $line . PHP_EOL, FILE_APPEND);?>” />
Luego procede a guardar este archivo PHP.
Posteriormente abrir WhatsApp y escribir el enlace que lleva a este archivo PHP.
Al generar la vista previa, captura la dirección IP y la guarda en el archivo de registro del servidor.
En la siguiente imagen se puede ver cómo queda almacenada esta información.
Rahul Kankrale,también compartió su hallazgo y la demostración en un video en YouTube
Esto es algo que naturalmente atenta contra nuestra seguridad, ya que proporcionaría nuestra ubicación exacta. Mientras WhatsApp no corrija este fallo, podemos protegernos de esta vulnerabilidad usando servicios de terceros o VPNs para enmascarar la IP.