Hackeos Memorables: SpotBros a WhatsApp

Hace tiempo hablamos sobre SpotBros, una aplicación de mensajería instantánea que compite en el mismo segmento que WhatsApp.

SpotBros es notáblemente mas segura en su diseño. De entrada, cuando te registras en la red, el password lo eliges tu, no es tu IMEI, no es la MAC de tu tarjeta Wifi. Personalmente opino que el mero hecho de tener que alabar algo tan básico como este punto, deja en un pésimo lugar a WhatsApp.

No solo en materia de seguridad se distancia de whatsapp, también en funcionalidad. En SpotBross existen dos cosas que a mi me parecen sumamente interesantes. los ‘Shouts’ y los ‘Spots’.

Los Shouts son una forma de comunicarse con gente cercana a ti. Lanzas un mensaje y ese mensaje es leído por la gente que se encuentre a un radio -aproximadamente- de 1,5km a la redonda. Viene muy bien para estar al tanto de lo que se mueve por tu zona, cortes de calles, dudas sobre ‘donde comprar X’ etc etc.

Los Spots son grupos con un interés común, vagamente podrían ser análogas a las salas de chat, para localizarlas tienes que estar cerca de donde se creó dicho grupo.

He visto, por ejemplo, que en mi urbanización han creado un ‘grupo de padel’ ahí la gente se ofrece para organizar partidos entre vecinos. Cualquier vecino con SpotBros que viva por la zona verá ese grupo y se puede unir si así lo desea.

Hace poco hubo un lanzamiento masivo de SpotBros, coincidiendo con la puesta a disposición de la versión para IOS.

Y aquí viene la polémica. Junto con la instalación, se ofrecía la posibilidad de enviar a tus contactos de WhatsApp un mensaje hablando de SpotBros.

A raíz de eso hubo cierta polémica bastante artificial sobre si eso era o no SPAM. Cualquier red tipo Facebook o similares, en el proceso de darte de alta, ofrece la posibilidad de ‘invitar’ a tus contactos del MSN, Gtalk, etc. Por tanto, rasgarse las vestiduras y acusar a SpotBros de SPAM me resulta bastante chocante (y aun más hacerlo desde una red que hace exactamente lo mismo …). Máxime cuando estaba la opción de no enviar dicho mensaje.

Al calor de dicha polémica, nadie se ha parado a reflexionar en el detalle técnico. Y eso, creo, es lo más ‘bonito’ de este asunto.

De entrada, WhatsApp no ofrece ninguna forma de enviar mensajes sin intervención del usuario. No existe API, tampoco forma oficial de hacer eso. Por tanto, ¿Cómo lo hicieron?

Los tiros -sospecho- tienen que ir hacia WhatsAPI, la implementación no oficial y tristemente coaccionada de WhatsApp.

Yo apuesto porque durante el proceso de instalación de SpotBros, éste se hacía con la información necesaria para hacer login en la red WhatsApp (IMEI en Android, MAC de la Wifi en IOS) y luego enviaba dicha información a los servidores de SpotBros, donde había un proceso que, usando WhatsAPI, enviase dichos mensajes.

Sin duda, un ‘OWNED‘ en toda regla. Aprovechándose de las debilidades de WhatsApp y su deficiente sistema de registro, consiguen emplear la plataforma de su competidor en beneficio propio.

Fuente: SecurityByDefault

Share

This entry was posted in concienciar, contraseña, encriptacion, info, moviles, seguridad, tools. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.