Paranoia Hack Jueves, 3 marzo 2016

Llamada falsa: El ganador del Oscar, Leonardo DiCaprio hace vibrar el celular

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

Vamos a mostrar una broma que con malicia podría ser usada para molestar o atacar a quien visite una página. Gracias al HTML5 se simulará una llamada de Leonardo DiCaprio con en un enlace, y si responden, llamará (en esta demostración) a un número gratuito. Paso a detallar este truco que con imaginación puede ser utilizado de varias maneras.

leonardo-dicaprio-llamada-falsa-html5-oscar-bateria-vulnerabilidad-vibra_miguelguerraleon

Imagen: elaboración propia

Como el HTML5 está de moda para construir páginas, aplicaciones y juegos, aprovecharemos una función de su API que permite activar el vibrador del celular sin permiso. Con algo de ‘ingeniería social’ y creatividad se puede usar para simular una llamada falsa y que el celular vibre. Cabe señalar que si se configura a vibración continua, la batería del celular sufrirá. Asimismo, si un usuario inexperto responde la llamada, un atacante puede programar la respuesta a un número de suscripción o hacia alguna aplicación maligna.

En la demostración haré creer que llama el ganador del Oscar, Leonardo DiCaprio. Sin embargo, si fuera un ataque dirigido podrían hacer creer que llama un familiar, empresa o pareja. Y si la víctima responde la llamada, marcaría a un número que consuma su crédito o descargue algún virus. La demostración que se publica es inofensiva, configurada al teléfono 104, número gratuito de su operador móvil.

No obstante, este código se puede inyectar a una web con una falla de seguridad (XSS persistente), y los usuarios que visiten la página desde el celular, verán a su dispositivo vibrar de manera incómoda hasta aniquilar su batería. También podrían crear un falso ‘AirDrop‘ con una imagen sugerente que al vibrar invite al usuario a aceptar e infecte el móvil. La demostración que utilizaré solo sirve como broma para demostrar cómo un código tan sencillo puede hacer vibrar un celular sin permiso.

Qué es el HTML5 y el API?

– HTML5: Es un lenguaje de hipertexto más estándar con los navegadores, usando menos recursos y al mismo tiempo, da la posibilidad de construir sitios más sofisticados, entre ellos animaciones y funciones que trabajan a nivel móvil, un ejemplo era el problema de reproducir películas (animaciones) en adobe flash en los smartphones. Permite navegar en un sitio de modo offline y amplia funciones como la geolocalización y acciones multimedia.
– API: Funciones para realizar varias acciones que interactuen con algún software, es decir, crear una “Interfaz de Programación de Aplicaciones”. Esto permite que al escribir una aplicación web se pueda utilizar una API para que realice ciertas funciones o valerse de una biblioteca estándar que haga el trabajo.

Video de demostración:

Demostración online

Comparto el código:


1) Crear dos imágenes de 720 px de ancho. La primera con el rostro de quien llama y la segunda con los botones ‘responder y cortar’. Asimismo, conseguir un audio de un teléfono marcando.
2) Copiar el código y guardarlo como ‘arhivo.html‘. Puede modificar el número telefónico y el tiempo de vibración.
3) Subir los archivos a un servidor.

Cabe señalar que este truco funciona en casi todos los dispositivos, incluyendo ordenadores. Los únicos que se salvan (al parecer) son los iPhones 6 pero en las versiones anteriores también corre. Aunque sería bueno que nos cuenten sus experiencias, ya que la demostración es inofensiva, lo máximo será que consuma algo de su batería por las vibraciones.

 

Consultas & asesorías
www.elhackerbueno.com

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona o empresa. Los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

 

 

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.