Encuentran nuevos problemas de seguridad en WhatsApp

No es la primera vez que el servicio de mensajería móvil más famoso del mundo sufre fallos de seguridad. WhatsApp Inc. cuenta con la friolera de 300 millones de usuarios que mandan a diario millones de mensajes de texto, y no solo de texto s no también fotos adjuntas, documentos o vídeos. El pasado mes de Julio, la empresa hacía público a través de su twitter el récord de mensajes enviados en un solo día hasta la fecha, nada más y nada menos que 27.000 millones de mensajes. Pero esa cantidad ingente de mensajes y datos no están del todo seguros.

Muchos de estos usuarios ya se han visto afectados por otros fallos de seguridad en el pasado. Recordemos que incluso la propia Apple retiró la aplicación de su App Store debido a que consideraban haber descubierto algún tipo de vulnerabilidad grave que podría comprometer los datos de los usuarios. Hoy, nos informan de dos nuevos fallos de seguridad descubiertos en Xnyhps.

Ambos problemas de seguridad tienen el mismo error, no utilizar claves diferentes para el envío y la recepción de mensajes, es decir el algoritmo RC4 que cifra los mensajes usa la misma clave. Este hecho permite que se pueda llegar a obtener la clave y hacerse con la información, en este caso nuestros mensajes.

Además de esto, de igual modo se repite la misma clave para el código de autenticación y verificación de mensajes, el llamado HMAC, que se asegura de que el mensaje no se haya modificado en el transcurso del envío hacia el destinatario. El problema está en que al usar siempre el mismo código, un atacante situado entre nosotros y los servidores de WhatsApp puede interferir y conseguir nuestros mensajes, incluso modificarlos y volverlos a enviar sin que quede constancia alguna.

Algunos fallos que WhatsApp aún tiene que solucionar

  • Los mensajes que enviamos y recibimos con el servicio de mensajería, aunque los limpiemos o borremos, quedan almacenados en una base de datos de la tarjeta Micro SD del terminal. Y aunque la tarjeta se supone cifrada, existe un código y diferentes tipos de software que pueden rescatar esos mensajes. Así lo indica Javier Morán, coordinador técnico del Centro de Seguridad TIC de la comunidad Valenciana.
  • Además, se sabe que la clave de cifrado de la toda la información que la aplicación de mensajería guarda en la memoria del teléfono, es la misma para todos los dispositivos (salvando a la Blackberry).
  • A esto también le añadimos que la propia aplicación hace su propia copia de seguridad en la base de datos interna del dispositivo pasadas 24 horas, por lo que desde esa misma base de datos se pueden recuperar conversaciones que hayamos limpiado.
En definitiva parace que seguimos estando expuestos a los fallos de seguridad del mayor servicio de mensajería móvil actual. Esperemos que al menos tomen nota de los agujeros que se van descubriendo en sus sistemas de cifrado, para que de este modo se vayan solucionando y mejorando en próximas actualizaciones de la aplicación.
lol ! Otra vez a quitar la apli para que no te entren...

Lo que me parece muy fuerte es que encima de ser aplis tan utilizadas tengan tantos problemas... vale que siempre hay problemas... pero no sé... deja mucho que desear xD

PD: Ahora me entero que en los apple también hacen copias de seguridad en las "tarjetas de memoria", de todas formas esto es la pescadilla que se muerde la cola; aplicación muy interesante, vamos a buscar agujeros.
Hay algo que la gente no entiende, nada es invulnerable a un ataque man in the middle. Y si crees que algo lo es, caerá.
ÑeK escribió:Hay algo que la gente no entiende, nada es invulnerable a un ataque man in the middle. Y si crees que algo lo es, caerá.


No sabes que razon tienes. XD
Man in the middle de toda la vida vamos...
El que piense que sus comunicaciones, de cualquier tipo, no son controladas y monitorizadas es que no tiene ni puñetera idea de en qué mundo vive.
Elm1ster escribió:El que piense que sus comunicaciones, de cualquier tipo, no son controladas y monitorizadas es que no tiene ni puñetera idea de en qué mundo vive.

+1
Elm1ster escribió:El que piense que sus comunicaciones, de cualquier tipo, no son controladas y monitorizadas es que no tiene ni puñetera idea de en qué mundo vive.


Está claro que si te quieren seguir los pasos lo tienen muy fácil.

Antes Whatsapp era gratuita, por lo que bajo mi punto de vista tampoco se le podía pedir grandes cosas, pero ahora es de pago y eso cambia las cosas.

Lo que está claro es que hasta el momento no ha existido otro servicio de mensajería con tanto éxito como Whatsapp
yoyo1one está baneado por "Faltas de respeto continuadas - The End"
Vaya no me lo experaba.
fw_c717 escribió:
Elm1ster escribió:Antes Whatsapp era gratuita, por lo que bajo mi punto de vista tampoco se le podía pedir grandes cosas, pero ahora es de pago y eso cambia las cosas.

Lo que está claro es que hasta el momento no ha existido otro servicio de mensajería con tanto éxito como Whatsapp

whatsapp nunca ha sido gratuita, una cosa es que renovasen la version de prueba y otra muy distinta que fuese gratuita, era de descarga gratuita pero siempre ha tenido el tema de la suscripcion anual
ÑeK escribió:Hay algo que la gente no entiende, nada es invulnerable a un ataque man in the middle. Y si crees que algo lo es, caerá.


+1.

Y hay otra cosa, muchas compañias estan locas por tirar Wasap al suelo.
Bueno yo solo lo uso para quedar, así que a menos que quieran venir a tomarse (invitarme) unas cervezas de poca utilidad será la información que cojan por mi parte [beer]
Creo que muchos de los que lo usamos, sabemos a lo que nos exponemos, la novedad seria que alguien consiguiera hacer algo seguro 100%
Esta tarde me ha salido la actualización. Parcheo al canto que le ha caido. [oki]
ÑeK escribió:Hay algo que la gente no entiende, nada es invulnerable a un ataque man in the middle. Y si crees que algo lo es, caerá.


Si, espera que se lo digo a mi VPN IPSec con AES-256/SHA-256, auth X.509 (Certs de 4096 bits) con nuestra propia CA (Sin otras CAs y verificacion de la misma) y PFS ... que la noto deprimida. (Algun criptologo cuando te ha leido se ha suicidado).

... y cuando mi VPN se lo cuente a su primo Vernam les vas a curar la depresion de golpe.

Cuanto daño ha hecho Backtrack ... xD

Que una implementacion sea una mierda no significa que se pueda romper el cifrado, significa que la implementacion es una mierda. (Para que lo entiendas, puedes tener el algoritmo de cifrado mas heavy del mundo de tropochocientosmil bits de tamaño de clave, que si la clave es 1234.... , caso whatsapp, la has cagado)

http://es.wikipedia.org/wiki/Gilbert_Vernam
http://es.wikipedia.org/wiki/Claude_Elwood_Shannon
Esta noticia debería haber salido hace meses, esto se sabe desde hace mucho mucho tiempo.
Los nuevos problemas de seguridad tienen que ver con el cifrado de los mensajes al mandarse, porque usan el mismo código los enviados y los recibidos.
Los que pone en la noticia son conocidos desde hace milenios.
Twotsunami escribió:Creo que muchos de los que lo usamos, sabemos a lo que nos exponemos, la novedad seria que alguien consiguiera hacer algo seguro 100%


Algo seguro 99,99% (El 00.01% restante es debido a la estupidez del usuario) :

Gtalk / Jabber / IM que te apetezca + OTR == Mensajes cifrados con claves asimetricas extremo a extremo.

Tienes clientes para Android como GibberBot que te implementa OTR sobre Google Talk (A google no le mola que la gente lo use porque no puede ni oler lo que dicen los interlocutores, mejor si usas otro servicio XMPP) :)
Astü escribió:Esta noticia debería haber salido hace meses, esto se sabe desde hace mucho mucho tiempo.
Los nuevos problemas de seguridad tienen que ver con el cifrado de los mensajes al mandarse, porque usan el mismo código los enviados y los recibidos.
Los que pone en la noticia son conocidos desde hace milenios.


Avisar de errores está muy bien, pero mejor después de leerse la noticia entera.
Cómo sería mi aplicación de mensajería ideal:

- Respetuosa, fiable y clara con respecto a la privacidad.
- Con aplicación para PC.
- Instalable en más de un dispositivo.
- Que la última hora de conexión, el estado "en línea", el "escribiendo", el "leído" sean opcionales y que cada usuario elija si quiere que se vean.
- Prefiero que sea gratuita y que incluya publicidad, pero si realmente vale la pena y cumple lo que pido pagaría por ella.

Y alguna cosa más hay por ahí que me dejo en el tintero.

La putada para mí es que whatsapp no cumple ninguna. Intento usarlo lo imprescindible en beneficio de otras aplicaciones que me parecen mejores. Cuando se finalice el periodo gratuito, no lo renovaré.

Saludos.
jiXo escribió:
Astü escribió:Esta noticia debería haber salido hace meses, esto se sabe desde hace mucho mucho tiempo.
Los nuevos problemas de seguridad tienen que ver con el cifrado de los mensajes al mandarse, porque usan el mismo código los enviados y los recibidos.
Los que pone en la noticia son conocidos desde hace milenios.


Avisar de errores está muy bien, pero mejor después de leerse la noticia entera.
Mea culpa, me retracto en lo dicho, pensé que la había leído entera pero me he debido saltar esa parte.
De todas maneras, creo que es algo más importante que lo resaltado con LIST, dado que es más fácil que te hagan un MITM que que tengan acceso físico al terminal.
leapfrog escribió:
Twotsunami escribió:Creo que muchos de los que lo usamos, sabemos a lo que nos exponemos, la novedad seria que alguien consiguiera hacer algo seguro 100%


Algo seguro 99,99% (El 00.01% restante es debido a la estupidez del usuario) :

Gtalk / Jabber / IM que te apetezca + OTR == Mensajes cifrados con claves asimetricas extremo a extremo.

Tienes clientes para Android como GibberBot que te implementa OTR sobre Google Talk (A google no le mola que la gente lo use porque no puede ni oler lo que dicen los interlocutores, mejor si usas otro servicio XMPP) :)

Una duda, entonces según tú, que por lo visto entiendes de criptografía, los mensajes de cifrados con claves asimétricas, Vernan y su primo VPN IPSec, son totalmente invulnerables incluso para los servicios de inteligencia de los gobiernos, no?

Si la respuesta es SI, no me hace falta hacer más preguntas.
Elm1ster escribió:
leapfrog escribió:
Twotsunami escribió:Creo que muchos de los que lo usamos, sabemos a lo que nos exponemos, la novedad seria que alguien consiguiera hacer algo seguro 100%


Algo seguro 99,99% (El 00.01% restante es debido a la estupidez del usuario) :

Gtalk / Jabber / IM que te apetezca + OTR == Mensajes cifrados con claves asimetricas extremo a extremo.

Tienes clientes para Android como GibberBot que te implementa OTR sobre Google Talk (A google no le mola que la gente lo use porque no puede ni oler lo que dicen los interlocutores, mejor si usas otro servicio XMPP) :)

Una duda, entonces según tú, que por lo visto entiendes de criptografía, los mensajes de cifrados con claves asimétricas, Vernan y su primo VPN IPSec, son totalmente invulnerables incluso para los servicios de inteligencia de los gobiernos, no?

Si la respuesta es SI, no me hace falta hacer más preguntas.

A eso me referia yo. Solo hace falta saber que google colabora con la nsa, asi que es como sentarte en una silla y poner esta en una piramide esperando que no te caigas.
Hoy dia CUALQUIER metodo de comunicacion puede ser rastreado si sabes como hacerlo. Ahora, para lo que usamos whatsapp la mayoria.......que cotilleen. Me la pela.
Pompadur está baneado por "clon de usuario baneado"
Hoy mismo me ha pedido actualizar.
Para el uso cotidiano me importa un pepino que lean mis mensajes. No soy delincuente ni terrorista.
Pompadur escribió:Hoy mismo me ha pedido actualizar.
Para el uso cotidiano me importa un pepino que lean mis mensajes. No soy delincuente ni terrorista.


la definición de delincuente y terrorista cambia con el tiempo.
lo que se entiende como delincuente y terrorista cambia con el tiempo
fw_c717 escribió:
Elm1ster escribió:El que piense que sus comunicaciones, de cualquier tipo, no son controladas y monitorizadas es que no tiene ni puñetera idea de en qué mundo vive.


Está claro que si te quieren seguir los pasos lo tienen muy fácil.

Antes Whatsapp era gratuita, por lo que bajo mi punto de vista tampoco se le podía pedir grandes cosas, pero ahora es de pago y eso cambia las cosas.

Lo que está claro es que hasta el momento no ha existido otro servicio de mensajería con tanto éxito como Whatsapp


Hombre me viene a la cabeza Wechat....
Es normal con tanto usuario.Yo creo que es la aplicacion mas descargada de la historia.Que se dediquen a solucionarlo y san se acabo.El line tanto que hablaba la gente no lo utilizo.Todo el mundo acaba utilizando watsap.
Yo sólo la uso para quedar con los amigos para:

1) Tomar copas [beer]
2) Enviar chorradas [fies]
3) Algún que otro foto o video de guarradas [looco]

así que... me importa un pimiento los agujeros de seguridad que tenga, la verdad.

Lo más gracioso es que mucha gente se queja de los fallos de WhatsApp y luego son los primeros que van poniendo sus números de móvil, donde vive, etc. en su red social habitual. Oooh

Salu2. :cool:
como me decía mi madre:
Si no quieres que se entere nadie, cállate y no digas nada XD
zeraw está baneado por "clon de usuario baneado y multinicks para trolear"
Imagen
Lo triste no es que la gente siga usando un programa con tantos fallos, lo triste es que casi te obliguen a ti a usarlo, y si les dices que no tienes WhatsApp te miran mal xD


Ho!
Vaya tela, la verdad que cada día estamos más expuestos en todo lo referente a comunicaciones, al final creo que debemos vivir con ello y ser bastante más prudentes en lo que decimos y mandamos!
Y encima nos quieren cobrar por la aplicación, manda güevos
Si os digo la verdad, a mí me da absolutamente igual que un tío de la otra punta de España sepa que voy a quedar con un colega o que simplemente le pongo "viste el golazo de Ronaldo"? Qué queréis que os diga, pero en mi caso y con mis conversaciones, me la pela [carcajad]
Teclis425 escribió:
fw_c717 escribió:
Elm1ster escribió:Antes Whatsapp era gratuita, por lo que bajo mi punto de vista tampoco se le podía pedir grandes cosas, pero ahora es de pago y eso cambia las cosas.

Lo que está claro es que hasta el momento no ha existido otro servicio de mensajería con tanto éxito como Whatsapp

whatsapp nunca ha sido gratuita, una cosa es que renovasen la version de prueba y otra muy distinta que fuese gratuita, era de descarga gratuita pero siempre ha tenido el tema de la suscripcion anual

Estás completamente equivocado. ¿¡Cómo que WhatsApp nunca ha sido gratuita!?

WhatsApp era gratuita, despues pasó a ser gratuita durante un año y despues fue que transcurrido dicho año de uso tenías que pagar una cuota anual para seguir usándolo.
Entre todo eso hubo que quitaron dicho pago dejándolo gratuito nuevamente pero terminaron por volver a cobrarlo.

De todas formas hay otras muchas opciones para mi punto de vista mejores y gratuitas: Line, Viber, ooVoo, etc.
Yo no me preocuparía, con las chorriconversaciones que tenemos por wasap ya te digo yo que no le interesan a nadie.

Que si fotos de tias/tios, videos chorras, quedamos?, sales?, resaca anoche?, sí, no, carita, caca con carita, dedo diciendo OK.
Elm1ster escribió:Una duda, entonces según tú, que por lo visto entiendes de criptografía, los mensajes de cifrados con claves asimétricas, Vernan y su primo VPN IPSec, son totalmente invulnerables incluso para los servicios de inteligencia de los gobiernos, no?

Si la respuesta es SI, no me hace falta hacer más preguntas.

En principio nada es totalmente seguro, pero esta afirmación no debe excluir que se tomen medidas de protección, se eviten los sistemas más inseguros o se señalen fallos notables de seguridad, como es el caso constantemente de Whatsapp.

También se trata de un problema de tiempo. Aunque supongamos un algoritmo invulnerable, los recursos computacionales que tiene la NSA -o similares- a su alcance distan mucho de los que tiene un ciudadano de a pie, por lo que cualquier tipo de ataque sencillo de fuerza bruta o diccionario que ellos puedan hacer es mucho más rápido y eficaz que uno que pueda realizar yo en casa.

La NSA se sustenta en que les es muy fácil acceder a todo, por ello pienso que no se trata de evitar al 100% estar a su alcance, sino de ponérselo difícil. Que no les salga a cuento investigar, o que gasten muchos más recursos en hacerlo para que no les sea viable. No puedes aspirar a estar fuera de su alcance, pero sí a usar tecnología que ellos no controlan de primera mano y ponérselo más difícil. O más lento al menos.

Dicho eso, y aun en el caso de que todo fuera cifrado de forma perfecta e invulnerable, me parece un error transmitir datos sensibles por Whatsapp o cualquier otro medio de comunicación. Porque es muy fácil que te manguen el móvil, que tú no tengas contraseña o cifrado el almacenamiento interno y voilà, a tomar por culo cifrado seguro del Whatsapp. O también es muy fácil que seas una víctima inconsciente del shoulder surfing [sonrisa] pero eso tiene fácil arreglo:

Imagen
Jamás entenderé el éxito de un programa que invade totalmente la privacidad de quien lo usa y no solo eso sino que tampoco es posible evitar mostrar tu estado en línea, el caso es que todo el mundo lo utiliza y hasta los que no lo desean ver ni en pintura acaban sumisos a él, el caso es que re vas a line por ejemplo que solventa muchos de estos inconvenientes pero no es tan eficaz asi que en parte este sera el secreto del exito de whatsapp por una parte su eficacia y por otra que brinda al ser humano la morbosidad de cotillear que parece ser que a muchos no se porque tanto placer les da.
thedarknight escribió:Jamás entenderé el éxito de un programa que invade totalmente la privacidad de quien lo usa y no solo eso sino que tampoco es posible evitar mostrar tu estado en línea, el caso es que todo el mundo lo utiliza y hasta los que no lo desean ver ni en pintura acaban sumisos a él, el caso es que re vas a line por ejemplo que solventa muchos de estos inconvenientes pero no es tan eficaz asi que en parte este sera el secreto del exito de whatsapp por una parte su eficacia y por otra que brinda al ser humano la morbosidad de cotillear que parece ser que a muchos no se porque tanto placer les da.

El único problema del Line es que chupa batería como una bestia, si no fuera por eso ya me habría cambiado hace tiempo.
Pues bien , como todo si buscas .
Para las conversacione de mierda que tengo, casi que a mi me da igual.

Pero vamos, que el tema de la seguridad en este tipo de programas de mensajeria es ridiculo
Antonio José Ruiz escribió:



Algunos fallos que WhatsApp aún tiene que solucionar

  • Los mensajes que enviamos y recibimos con el servicio de mensajería, aunque los limpiemos o borremos, quedan almacenados en una base de datos de la tarjeta Micro SD del terminal. Y aunque la tarjeta se supone cifrada, existe un código y diferentes tipos de software que pueden rescatar esos mensajes. Así lo indica Javier Morán, coordinador técnico del Centro de Seguridad TIC de la comunidad Valenciana.
  • A esto también le añadimos que la propia aplicación hace su propia copia de seguridad en la base de datos interna del dispositivo pasadas 24 horas, por lo que desde esa misma base de datos se pueden recuperar conversaciones que hayamos limpiado.


Hay alguna forma de arreglar esto por parte del usuario?, Porque a mi precisamente que lean o puedan leer mis conversaciones me da igual, pero no quiero que se queden registrada en ninguna parte del teléfono.

Un saludo. [ginyo]
thedarknight escribió:...y no solo eso sino que tampoco es posible evitar mostrar tu estado en línea...


En los ajustes puedes quitar al menos lo de "ultima hora en linea", si ya te pillan cuando estas conectado es que tienes un/a acosador/a pendiente de cuando te conectas, y me parece eso más peligroso que los fallos de seguridad del programa.
Ahora los que no quieren pagar por él tendrán otra excusa mas jajaja
Yo personalmente no utilizo whatsapp [boing] , tengo una alternativa que para mi a dia de hoy es la mejor. Hangouts, se puede instalar en varios dispositivos(tablet, movil..) se puede instalar en pc, tiene videollamada y tiene una bonita interfaz.
¿se puede pedir mas??
Sabio escribió:Lo triste no es que la gente siga usando un programa con tantos fallos, lo triste es que casi te obliguen a ti a usarlo, y si les dices que no tienes WhatsApp te miran mal xD


Ho!


Y que lo digas. Eso sí, no tiene precio ver la cara de l@s chaval@s cuando se lo digo jajaja.
para cuando los gravisimos problemas de seguridad de line ? por que solo se centran en whatsapp ?
lo que tienen que quitar es la puñetera marquita del doble check que vuelve a las tias locas del coño
WiiBoy escribió:lo que tienen que quitar es la puñetera marquita del doble check que vuelve a las tias locas del coño

+1
67 respuestas
1, 2