Atacando a usuarios de Chatroulette

Para quien no lo conozca aun, Chatroulette es un servicio de video chat y mensajería instantánea con la particularidad de que los contactos se establecen de forma aleatoria, es decir, no sabemos nunca a quién encontraremos al otro lado. Esta característica que, en principio, estaba diseñada para hacer nuevas amistades en todo el mundo, ha desembocado, no obstante, en una superpoblación de exhibicionistas (mayoritariamente masculinos) que no tienen pudor alguno en mostrarse desnudos o realizando actividades desagradables frente a la cámara. Pero dejemos que unos especialistas en la materia nos ilustren con el siguiente vídeo:

Una vez hemos aclarado en qué consiste esta aplicación pasemos a ver qué riesgos de seguridad presenta. Según informan un grupo de investigadores de la universidad de Colorado, existen fallos en la comunicación entre los participantes de una sesión de Chatroulette que exponen la privacidad de los mismos y pueden utilizarse para espiar conversaciones o realizar ataques de phishing dirigidos. Estos investigadores consiguieron engañar a muchos usuarios poniendo un vídeo grabado previamente en el que se mostraba a una atractiva joven. Asimismo pueden realizarse ataques man-in-the middle para interceptar o modificar comunicaciones y engañar a víctimas potenciales. Todo esto unido a la posibilidad de identificar la IP de los usuarios de este servicio representa un importante vector de ataque para realizar infiltraciones elaboradas y especialmente dirigidas.

Pero, ¿cómo se pueden realizar un ataque con esta información?. Veamos cómo podría ser un ataque dirigido a usuarios de Chatroulette.

  • Iniciamos una sesión de chat con el video grabado que muestra una atractiva joven. Sabiendo que la mayoría de usuarios de este servicio son varones, no nos resultará difícil captar la atención de nuestra víctima.
  • Una vez tenemos la atención de la víctima intentamos sacarle información confidencial como el lugar de residencia, teléfono intereses o si tiene algún perfil creado en una red social.
  • Si la víctima es reticente a proporcionar datos confidenciales, aun podemos obtener su localización geográfica ya que, mientras la conexión esté establecida, el audio y el video son enviados a través de paquetes UDP. Un atacante podría obtener fácilmente la dirección IP de la víctima desde la cabecera de un paquete y, a continuación, usar un sistema de geolocalización IP para averiguar la ubicación aproximada de la víctima.
  • Una vez hemos obtenido estos datos y, tras realizar un poco de investigación en redes sociales, como Facebook o Tuenti, podríamos completar un perfil bastante amplio de nuestra víctima y empezar a preparar ataques usando la ingeniería social, por ejemplo, enviándole mensajes presentándonos como un conocido y proporcionando información que alguien no cercano a la víctima supuestamente no podría conocer. A partir de este punto ya queda a discreción del atacante el tipo de fechoría que desee realizar a la incauta víctima.

Es por todo lo expuesto en este post que, desde el laboratorio de ESET en Ontinet.com, recomendamos extremar la precaución cuando usemos alguna aplicación como Chatroulette ya que muchas veces podemos proporcionar más información de la estrictamente necesaria.

Josep Albors

Microsoft informa sobre la nueva vulnerabilidad