WhatsApp escurre el bulto asegurando que el problema de privacidad es exagerado

http://static.htcmania.com/whatsapp-logo_13marazo_htcmania.jpg

Leemos en xatakamovil.com


http://www.htcmania.com/images/smilies/q.gif Debido a las investigaciones que recientemente ha llevado a cabo un ingeniero informático holandés la privacidad de WhatsApp ha vuelto a la palestra, aunque el problema ya era conocido con anterioridad. El problema reside en la facilidad que tienen aplicaciones con intenciones maliciosas para acceder a las conversaciones que se almacenan en la microSD de los teléfonos. Y WhatsApp no suele ser muy dada a responder a este tipo de cosas pero en esta ocasión si lo han hecho, aunque de un modo muy particular. El representante de la compañía, que espera el visto bueno de las autoridades para cerrar su venta a Facebook, se podría decir que directamente ha escurrido el bulto, asegurando que el problema es exagerado y que no reside en su aplicación. WhatsApp en su versión para Android almacena nuestras conversaciones en distintos archivos en la tarjeta microSD, localización a la que pueden acceder otras aplicaciones por lo que es medianamente fácil hacer una copia de los archivos. Faltaría poder acceder a los mensajes, ya que estos están cifrados, pero por mucho que la aplicación ha ido aumentando su seguridad el cifrado es vulnerable, ya que la clave se puede obtener por ejemplo con WhatsApp Extract. http://www.htcmania.com/images/smilies/q2.gif

fuente: xatakamovil.com (http://www.xatakamovil.com/aplicaciones/whatsapp-escurre-el-bulto-asegurando-que-el-problema-de-privacidad-es-exagerado?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+xatakamovil+%28Xataka+M%C3%B3 vil%29)

http://www.xatakamovil.com/aplicaciones/whatsapp-escurre-el-bulto-asegurando-que-el-problema-de-privacidad-es-exagerado?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+xatakamovil+%28Xataka+M%C3%B3 vil%29

http://www.xatakamovil.com/aplicaciones/whatsapp-escurre-el-bulto-asegurando-que-el-problema-de-privacidad-es-exagerado?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+xatakamovil+%28Xataka+M%C3%B3 vil%29

pues si, a mucha gente le encanta exagerar

no olvidemos que es un servicio de mensajeria para conversaciones en linea a nivel personal para usuarios normales, solo eso... si quieren algo mas seguro hay otras aplicaciones que te pueden dar eso pero generalmente es para servicios empresariales donde si se requiere y para eso igual hay otras soluciones, incluso se usan otros sistemas operativos

lo que pasa es que todo esto vende, llama la atencion para las webs de noticias, la competencia y hasta el propio whatsapp

pero no es nada nuevo, ya lo sabiamos y millones de usuarios estamos conformes con eso

pues si, a mucha gente le encanta exagerar

no olvidemos que es un servicio de mensajeria para conversaciones en linea a nivel personal para usuarios normales, solo eso... si quieren algo mas seguro hay otras aplicaciones que te pueden dar eso pero generalmente es para servicios empresariales donde si se requiere y para eso igual hay otras soluciones, incluso se usan otros sistemas operativos

lo que pasa es que todo esto vende, llama la atencion para las webs de noticias, la competencia y hasta el propio whatsapp

pero no es nada nuevo, ya lo sabiamos y millones de usuarios estamos conformes con eso

Pues nada, que desencripten los mensajes, total...

Es más a partir de ahora todas las conversaciones con el manos libres y a todo volumen.

Su una app de terceros puede acceder a tus conversaciones es muy grave, sea una conversación sobre si comprar 1 o 2 litros de leche o lo que sea, eso da igual mientras yo las considere privadas.

Pues nada, que desencripten los mensajes, total...

Es más a partir de ahora todas las conversaciones con el manos libres y a todo volumen.

Su una app de terceros puede acceder a tus conversaciones es muy grave, sea una conversación sobre si comprar 1 o 2 litros de leche o lo que sea, eso da igual mientras yo las considere privadas.

Y para que bajas apps de terceros maliciosas? O que no sabes que le metes a tu móvil? Porque yo si

Si te llegasen a piratear las conversaciones, el problema no es whatsapp, es uno que no sabe que anda haciendo.

El otro día ya comente sobre el tema. Si bien se filtro o avisaron del posible Fallo de seguridad. Me decante por ellos. Pero ahora ya no estoy tan seguro. Cuando dicen que no pasa nada y que es "Exagerado" algo pasa. Seguro.

Y que van a decir? Hoy en día ninguna aplicación es segura. Ni tan siquiera llamar por teléfono lo es.

Pues nada, que desencripten los mensajes, total...

Es más a partir de ahora todas las conversaciones con el manos libres y a todo volumen.

Su una app de terceros puede acceder a tus conversaciones es muy grave, sea una conversación sobre si comprar 1 o 2 litros de leche o lo que sea, eso da igual mientras yo las considere privadas.

Ya pero eso pasa si te bajas una aplicación de terceros o de dudosa procedencia que contenga codigo malicioso o malware y pasa con todo, por ejemplo un SO Windows, pues igual, si te descargas ese SO de un tercero pirata obviamente los riesgos son mayores, si lo crackeas o parcheas igual pueden contener algún tipo de malware que vulnere la seguridad de Windows, en definitiva si te descargas la app oficial, sin añadirle aplicaciones de terceros o cosas raras, NO vas a tener ningún problema por tanto yo también creo que se exagera, hay que saber lo que se instala y ser cuidadoso con lo que se instala.

"escurrir el bulto" ???

Ojala esto se arregle pronto, se de quien sea la culpa, y bueno que Google se ponga más serio también con lo de las aplicaciones en el play store, no me parece muy genial que hayan aplicaciones que puedan acceder a las conversaciones de Wapp guardadas en la SD.

pero no es nada nuevo, ya lo sabiamos y millones de usuarios estamos conformes con eso

Permiteme discernir tantito de este punto confar, si bien puede parecer exageración, creo que dar la opción (no imponerla) no afecta a los millones de usuarios conformes.

Lo que expones es que una minoría no tiene voz respecto a los asuntos de la otra mayoría, y si bien así más o menos funcionan las cosas, no me parece algo correcto. Sería cosa de hacer un poco de conciencia porque probablemte pertenezcamos en algun momento a una minoría y no nos gustaría en definitiva un argumento como ese.

Es como decir que tengo un hijo homosexual, y ya porque hay millones de heterosexuales que están conformes con las cosas, pues que sigan así... les vale que mi hijo no tenga derechos, pues como que no me parece correcto.

Por cierto, siempre y cuando a esa mayoría no les afecte ese "ajuste" no pasa nada. Por eso digo "dar opción, no imponerla". Tal como hicieron con los ajustes de la foto, hora y conexión.

Por cierto lo que luego si les puede causar problemas son los dichosos backups que hace diario a las 4 am y que se pueden desencriptar. Por ejemplo si tu novi@ o espos@ sospecha de ti, pues te roba los backup y a desencriptar. El detalle es que al hacer uno diario, si por ejemplo se va de vacaciones una semana y tu crees que borrando conversaciones el pleno dia que la vez ya la hiciste y estas protegido pues no es asi. Como hace uno diario, pueden haber por decir 5 archivos y el chiste es robarse los 5, para ver si borro algo y que fue.

Pero tiene solucion sencilla, borrar dichos archivos, se llaman msgstore.db.crypt o algo asi pero yo los he visto en la interna siempre dentro de la carpeta Whatsapp\Databases

Y si bien es exageracion (no todo el mundo sabe hacer esas cosas) no se esta 100% a salvo jeje, la gente con tal de lograr su cometido si hay desconfianza se puede poner a investigar, por eso yo si prefiero borrar esos archivos, me ha tocado ver 7 u 8 y no quita mucho tiempo eliminarlos.

Por cierto, si alguien piensa lo de "y que te pones a hacer cosas indebidas o que" es entrar en otro terreno que no tiene nada que ver con esto.

Digo yo que es obligación de cada aplicación el proteger los datos que genera y almacena. Por ejemplo con un buen cifrado.
En realidad Whatsapp lo hace. El problema es que siempre usa la misma clave de cifrado, que además es igual en todos los dispositivos salvo Blackberry (EDITADO: a partir de la versión 2.11.152 ha cambiado el encriptado, ahora se usan 5 claves, 4 fijas y conocidas (una de ellas es la que ya se usaba antes y son iguales en todos los dispositivos) y otra que varía en función de la dirección de gmail vinculada a nuestro teléfono).

Aquí un ejemplo práctico de cómo explotar el fallo:

Aplicación para robar y leer chats de WhatsApp en Android (PoC) (http://www.hackplayers.com/2014/03/aplicacion-android-para-robar-y-leer-whatsapp.html)

La aplicación maliciosa sólo tendría que pedir permiso para acceder a nuestra tarjeta SD, lo cual no es tan raro y se hace en prácticamente todas las aplicaciones que solemos instalar.

EDITADO:
Desde aquí se pueden abrir los archivos crypt5. Enlace (http://whatsapp.livetrack.mobi/) --> Fuente: XDA-Developers (http://forum.xda-developers.com/showpost.php?p=51055272&postcount=909)

WhatsApp database dumper for Metasploit

https://github.com/rapid7/metasploit-framework/pull/3039

El propio Android es un gran fallo de seguridad cuando han dicho que la NSA tiene bastante facilidad para acceder a cualquiera, de hecho parece que hoy en día lo más seguro es BlackBerry que es lo único que le dejan llevar a Obama, porque IPhone debe estar parecido.

Es excesivo el "machaque" continuo a WhatsApp. Supongo que ser líder en lo suyo es lo que tiene.

Estos de WhatsApp en vez de desmentir cosas tendrian que centrarse mas en mejorar la seguridad de la App

Es excesivo el "machaque" continuo a WhatsApp.

Otro punto de vista es que en vez de "machaque" continuo, le estamos haciendo una "propaganda" continua y gratuita.

Estos de WhatsApp en vez de desmentir cosas...

Desmentir es propaganda gratuita, p.e.

Esta app se tira un pedo y nos pegamos tres meses hablando de ello, en las noticias, en los foros, el boca a boca... Que si te envío un wasá, que si cobran, que si no tiene privacidad, que si aparece Telegram, que si la ha comprado facebook, que si hay una actualización, cuatro horas sin servicio, unas declaraciones a los medios, etc. Desde luego no le hace falta gastar en propaganda: ya se la hacemos nosotros y la prensa.

P.D. a ver cual es la próxima payasada que se inventan para que sigamos hablando de ella.

Yo la verdad no le veo el porque de tanto machaque a WhatsApp por el tema seguridad. Si alguien quiere meterse en tu móvil o pc o lo que sea lo va a hacer. Y creo que Facebook es peor en tema privacidad.

Cuanto más seguridad mejor, no tengo duda sobre eso.

Ahora bien, en un programa de este tipo la seguridad debe centrarse sobre todo en la comunicación.

Si no es del todo seguro el almacenamiento hay que mejorarlo peto en ese punto el mejor agente de seguridad, y además insustituible, es el propio usuario.

Si hay mucha seguridad pero luego anda el móvil de mano en mano....o instalas todo lo que pillas...

Yo la verdad no le veo el porque de tanto machaque a WhatsApp por el tema seguridad. Si alguien quiere meterse en tu móvil o pc o lo que sea lo va a hacer. Y creo que Facebook es peor en tema privacidad.

Una cosa es que gente especializada pueda robarte los datos y otra que lo haga cualquier anormal que se lea un manual y vaya de experto.

La cosa es sencilla.
Whatsapp debería buscar la manera de proteger los datos que genera y Google una solución para que las aplicaciones no puedan fisgonear cualquier carpeta de la SD y el teléfono.
De momento una escurre el bulto y a la otra ni siquiera se le espera. Mientras tanto ahí está el error.

Es normal que se le encuentren tantos fallos a Whatsapp, es la aplicación de comunicación más utilizada, y muchísimas personas se encargan de analizarla y buscarle las cosquillas. Que podría ser mas segura...seguramente. Pero pensar que vive en una auditoría publica constante por parte un gran numero de expertos del tema, de hay que sea de la que más fallos se conocen.

Una cosa es que gente especializada pueda robarte los datos y otra que lo haga cualquier anormal que se lea un manual y vaya de experto.

La cosa es sencilla.
Whatsapp debería buscar la manera de proteger los datos que genera y Google una solución para que las aplicaciones no puedan fisgonear cualquier carpeta de la SD y el teléfono.
De momento una escurre el bulto y a la otra ni siquiera se le espera. Mientras tanto ahí está el error.

Lo puede descifrar una persona normal porque un experto ha indicado como se puede hacer, incluso se han desarrollado herramientas y facilitado código para realizar dicha acción.
http://www.securitybydefault.com/2014/03/descifrando-msgstoredbcrypt5-la-nueva.html

Un usuario normal, no encontraría una debilidad de estas nunca. Otra cosa esque whatsapp una vez conocida la vulnerabilidad deba arreglarla en el menor tiempo posible.

Cuidado con lo que escribimos por WhatsApp

Lo puede descifrar una persona normal porque un experto ha indicado como se puede hacer, incluso se han desarrollado herramientas y facilitado código para realizar dicha acción.
http://www.securitybydefault.com/2014/03/descifrando-msgstoredbcrypt5-la-nueva.html

Un usuario normal, no encontraría una debilidad de estas nunca. Otra cosa es que whatsapp una vez conocida la vulnerabilidad deba arreglarla en el menor tiempo posible.
¿Y qué más da quién lo haya descubierto?. El caso es que hay manuales y herramientas que lo facilitan, lo cual hace que cualquiera pueda explotar el fallo.

Otro punto de vista es que en vez de "machaque" continuo, le estamos haciendo una "propaganda" continua y gratuita.



Que propaganda? :rolleyes: , whatsapp no necesita propaganda, la conoce todo el mundo, el usuario comun (que es la mayoria) que va a comprar un móvil no pregunta por la RAM ni nada de eso, pregunta si hace buenas fotos y si tiene whatsapp, propaganda necesitan las demás para desbancar a whatsapp.

Yo soy whatsapp y hago caso ajeno a las criticas, por ejemplo aquellos que demandaban lo de la privacidad en linea ahora lo critican porque no pueden ver el estado en linea del resto, si es que... lo dicho yo soy whatsapp y me quedo como estaba antes, superfluido,práctico, sencillo y básico , se que me voy a seguir ahorrando un pastón porque mis contactos estan alli, por mucho Line, telegram que salga siguen estando alli y estarán alli, eso se traduce en que me ahorro un dinero importante con solo una app.

He leido muchas cosas sobre aplicaciones de terceros y demas. Deciros que por mucha seguridad que os creeis que teneis, estais soñando.
Jamas, y repito, JAMAS habra una seguridad total. En android, al menos. Sin excepturar windows ya sea pc o movil.
No hace falta que os lo diga, pero todo el mundo con un minimo de cultura que lea sobre estos temas sabe que NSA accede a todos sin excepcion.
Asique, si pensais que es malo que un cualquiera lea vuestros mensajes de "voy a ir a tal o comprar tal", piensa de verdad lo que dices... Porque no son los unicos. Y recientemente ha habido un estudio sobre los metadatos de las llamadas (los que supuestamente, no dan informacion...) y en stanford, han comentado que con los simples metadatos ya saben mas cosas privadas de ti que nadie.
No me gusta extenderme en estas cosas, porque tengo muchas opiniones al respecto... Lo que si esta claro es que nunca, ninguna empresa como FB, google u otras va a solucionar problemas de seguridad. No importa quien tenga whatsapp, nadie se ocupará de sus fallos. ¿por que van a hacerlo si no lo hacen ni con sus propias apps?

Una ultima cosa, en appygeek leí una noticia que decia que la NSA no ha conseguido entrar en los iOS (por ahora), no es por nada... Pero les aplaudo su optimizacion, con el poco hardware todo lo que hace. No me gusta apple, ni me gustara jamas. Solo que hay cosas que si que hay que darles un apaluso.

Asique recordad, vuestros temas privados y ultraprivados... Habladlos en persona. Limitad las apps a hola, quedamos, que tal, te quiero, adios, has visto tal... Es mucho mejor.

Y ya se que no soy una experta en el tema de seguridad, pero por suerte es el tema que mas me gusta... Y ahi os dejo eso ;)
Bueno, y con esto y un bizcocho, os dejo pensar el tema ;)

ni los iphones se salvan del espionaje http://www.htcmania.com/showthread.php?t=796817

y ya habia leido varias noticias sobre hackear iphones. Incluso el presidente de EEUU solo usa un telefono personal bien cuidado por el espionaje http://www.impulsonegocios.com/contenidos/2013/12/07/Editorial_28461.php

Recuerdo que tambien habian hakeado otros telefonos blackberry de personajes importantes.. http://mediamza.com/Lectura.asp?id=84894
http://www.cromosomax.com/23217-hackean-la-blackberry-de-madonna-y-se-filtran-fotos-indecorosas
http://www.xataka.com/otros/la-nsa-puede-hackear-tu-telefono-tanto-si-usas-ios-como-android-o-blackberry
http://www.wayerless.com/2013/06/reino-unido-habria-hackeado-las-blackberry-de-los-diplomaticos-en-el-g20-de-2009/

Parece que los windows phone som poco hackeables o simplemente a nadie le interesa jajaja
http://www.poderpda.com/plataformas/windows-phone/windows-break-nuevo-hack-gratuito-para-windows-phone/
http://www.redusers.com/noticias/un-chico-de-16-anos-dice-que-hackeo-windows-phone-8/

Lo peor de todo es que es el usuario el que provoca que la poca seguridad que tienen los telefonos falle porque le mete root, hailbreak, aplicaciones de fuentes desonocidas, etc... luego andamos llorando en los foros

Tienes razon, pero todo es discutible. Yo no tengo ni idea de que seguridad deben tener los ios pero es sospechoso que todo le pase a android... Windows no le hago mucho caso porque esta visto que no interesa.

hola Yonohesido, he ido al enlace que pusiste para desencriptar los archivos crypt5 y no funciona, será que ya lo inhabilitaron? porque el viernes de la semana pasada ingresé y perfecto, sin embargo, hoy ingreso con los mismos datos (pues le mostraba a un amigo cómo funcionaba) y no sirvió, sabes algo?

hola Yonohesido, he ido al enlace que pusiste para desencriptar los archivos crypt5 y no funciona, será que ya lo inhabilitaron? porque el viernes de la semana pasada ingresé y perfecto, sin embargo, hoy ingreso con los mismos datos (pues le mostraba a un amigo cómo funcionaba) y no sirvió, sabes algo?

Pues no. La verdad es que no he vuelto a mirarlo. Lo siento.