Ojito con lo que no ves en tu móvil

Una de las conferencias más interesantes en las jornadas Maria Pita DefCon fue la que impartió Pablo González de Eleven Paths sobre la evolución del phising.

Una nueva via de ataque del phising son los dispositivos móviles, donde la posibilidad de ocultar información de las urls a las que se conecta el dispositivo son mayores. Así tituló su conferencia “Lo que el ojo no ve” . Y no lo ve porque en los móviles no se muestra.

Un caso de estudio es el de emparejar una aplicación que corre en el móvil con un navegador que está en un pc. Para eso se carga en el navegador del pc un código QR que se escanea con el móvil , con la aplicación del móvil que queremos emparejar ( o parear ) y ya se establece la conexión en el navegador.

El problema es que todo ese proceso es susceptible de ser falseado. Se hizo una demostración con Whatsapp pero también se puede aplicar a otras aplicaciones.

En resumen el proceso es el siguiente: un usuario recibe un correo electrónico ofreciéndole una nueva característica y le pide que acceda mediante el enlace que se adjunta a una web. Esa web es falsa aunque muestra los códigos QR verdaderos de whatsapp. Cuando el usuario escanea el código, establece una relación entre su sesión de whatsapp y el navegador de otro sistema , el sistema atacante,  que fue el que le envió el correo. Mientras tenga la sesión abierta, el atacante tiene acceso a todas las imágenes, charlas, contactos del usuario de whatsapp.

Lo explica con más detalle técnico   Pablo en su blog 

Aquí tenemos el video de la parte final de la charla, no tiene buen sonido pero se puede seguir. Gracias a Diego por grabarlo .

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: