¿Y si alguien pudiera saber dónde te encuentras en cada momento, enviándote un simple mensaje de WhatsApp? Parece la premisa de una nueva película de terror, pero es una técnica real que los investigadores especializados en ciberseguridad de Restore Privacy han descubierto a través de una vulnerabilidad presente en la gran mayoría de apps de mensajería instantánea.
#3:
Esto es como contar los segundos que pasan entre el relámpago y el trueno, que sabes exactamente a qué distancia está la tormenta con una precisión milimétrica de mis cojones treinta y tres.
Esto es como contar los segundos que pasan entre el relámpago y el trueno, que sabes exactamente a qué distancia está la tormenta con una precisión milimétrica de mis cojones treinta y tres.
Si lo haces a ojo, pues mal. Si usas un aparato un poco mas preciso, puedes saber exactamente a que distancia está la tormenta, con una precisión tan alta como precisión tenga tu aparato de medición de tiempo.
#10 Claro porque sólo influye el tiempo entre relámpago y trueno; la velocidad del viento, las corrientes de aire, la carga de humedad, la temperatura del aire y lo escarpado o no del terreno son variables que no sirven absolutamente para nada y que, por cierto, pueden cambiar en décimas de segundo.
#13 Todo influye, es cuestión de medir mas cosas y de cuanta precisión necesites. En este caso, te localizan en whatsapp con un 74% de precisión. A mi no me parece poco, la verdad.
Y con las tormentas, pues lo mismo. Si mides luz y sonido, pues tendrás una precisión bastante alta. No creo que el viento y todo eso que comentas, vaya a tener un impacto mas allá del 20%.
La mayoría de las cosas son muy fáciles de medir si aceptas un 80/20.
#15 El principio de Pareto dice todo lo contrario: que un 80 % influye en un 20 % del resultado y, por contra, el 20 % influye en el otro 80 % del resultado. Por ende, el viento y todo lo demás sería mucho más determinante que el tiempo. Pero esto ya es meterse en camisa de once varas.
El principio de Pareto, también conocido como la regla del 80-20 y ley de los pocos vitales,2 describe el fenómeno estadístico por el que en cualquier población que contribuye a un efecto común, es una proporción pequeña la que contribuye a la mayor parte del efecto
En el caso del trueno y el flash, es la diferencia de tiempo entre el evento lumínico y el sonoro lo que influye al 80% del resultado, pese a que como indicas, hay muchas otras variables, pero esas solo influyen en un 20%. No entiendo que te hace pensar que es lo contrario, la verdad.
En el caso de whatsapp tal y como han demostrado los investigadores, se vuelven a cumplir el principio de Pareto, ya que fíjate que casualidad, que tienen un 74% de precisión midiendo el tiempo de entrega. Por que es, de nuevo, el 80/20.
Si, muchas cosas influyen en el tiempo de entrega, pero un ~80% es donde estás, como han demostrado estos investigadores.
#21 Podrían, por eso (entre otras cosas) te localizan con un 74% de precisión, y no con una precisión mayor.
Un 74% de precisión, de la cual no indica su distribución. Es decir, que quizás a veces te localiza con un 100% y otras con un 0%. Y en global, es un 74%. No tiene por que significa que "mas o menos acierta donde estás", puede significar que "un 74% de las veces acierta donde estás, con una precisión del 100% en relación a la antena de telefonía".
Para que sea una vulnerabilidad no es necesario que haya código implicado. Las vulnerabilidades son errores en los sistemas completos, no en las piezas de software. Hay vulnerabilidades incluso protocolarias, en la forma en la que las personas implicadas manejan la información.
Pero además, sí que hay código implicado: la confirmación de entrega del mensaje revela información sobre el destinatario (lo que tarda en aparecer la confirmación de entrega, basicamente). Eso es algo que lo hace un código, y ese código conceptualmente está mal, por que no debería revelar esa información ni directa, ni indirectamente.
El "timing attack" es una estrategia relativamente común (en especial contra sistemas criptográficos) que aprovecha las debilidades de algoritmos que no son O(1) para extraer información. Éste es el caso.
Dado que sería imposible implementar un algoritmo O(1) para esta funcionalidad, lo que proponen los investigadores es añadir un componente aleatorio.
Desde la aparición del teléfono móvil esto es más que sabido. En las conversaciones surgen preguntas sobre el posicionamiento, y entorno al 70% de las veces se dice la verdad. Solo es necesario identificar cuando es verdad y cuando no. Por ejemplo.
¿Dónde estas?
a. Estoy cagando (cierto).
b. Estoy llegando (muy sospechoso, y más si es la tercera vez que te lo dice).
como mucho podrian llegar a saber a que distancia de ti esta el otro, en cualquier direccion, con esa precision y un conocimiento extenso de la red que os comunica.
supongo que el hecho de no querer hablar de lo que realmente es noticia obliga a elevar la categoria de cualquier chorrada.
Comentarios
Esto es como contar los segundos que pasan entre el relámpago y el trueno, que sabes exactamente a qué distancia está la tormenta con una precisión milimétrica de mis cojones treinta y tres.
#3 Depende de que uses para medir ese tiempo, no?
Si lo haces a ojo, pues mal. Si usas un aparato un poco mas preciso, puedes saber exactamente a que distancia está la tormenta, con una precisión tan alta como precisión tenga tu aparato de medición de tiempo.
#10 Claro porque sólo influye el tiempo entre relámpago y trueno; la velocidad del viento, las corrientes de aire, la carga de humedad, la temperatura del aire y lo escarpado o no del terreno son variables que no sirven absolutamente para nada y que, por cierto, pueden cambiar en décimas de segundo.
#13 Todo influye, es cuestión de medir mas cosas y de cuanta precisión necesites. En este caso, te localizan en whatsapp con un 74% de precisión. A mi no me parece poco, la verdad.
Y con las tormentas, pues lo mismo. Si mides luz y sonido, pues tendrás una precisión bastante alta. No creo que el viento y todo eso que comentas, vaya a tener un impacto mas allá del 20%.
La mayoría de las cosas son muy fáciles de medir si aceptas un 80/20.
Si te interesa el tema, puedes leer mas aquí:
https://es.wikipedia.org/wiki/Principio_de_Pareto
#15 El principio de Pareto dice todo lo contrario: que un 80 % influye en un 20 % del resultado y, por contra, el 20 % influye en el otro 80 % del resultado. Por ende, el viento y todo lo demás sería mucho más determinante que el tiempo. Pero esto ya es meterse en camisa de once varas.
#16
No, no dice lo contrario:
El principio de Pareto, también conocido como la regla del 80-20 y ley de los pocos vitales,2 describe el fenómeno estadístico por el que en cualquier población que contribuye a un efecto común, es una proporción pequeña la que contribuye a la mayor parte del efecto
En el caso del trueno y el flash, es la diferencia de tiempo entre el evento lumínico y el sonoro lo que influye al 80% del resultado, pese a que como indicas, hay muchas otras variables, pero esas solo influyen en un 20%. No entiendo que te hace pensar que es lo contrario, la verdad.
En el caso de whatsapp tal y como han demostrado los investigadores, se vuelven a cumplir el principio de Pareto, ya que fíjate que casualidad, que tienen un 74% de precisión midiendo el tiempo de entrega. Por que es, de nuevo, el 80/20.
Si, muchas cosas influyen en el tiempo de entrega, pero un ~80% es donde estás, como han demostrado estos investigadores.
#17 Me acaba de explotar la cabeza. Es lunes y no puedo pensar más, lo siento.
Que WhatsApp es malware es evidente.
#2 Si, usa Telegram y Linux, me lo sé.
Si usas Android, técnicamente está usando el núcleo de Linux. Ya sólo te falta migrar a Telegram.
#21 Podrían, por eso (entre otras cosas) te localizan con un 74% de precisión, y no con una precisión mayor.
Un 74% de precisión, de la cual no indica su distribución. Es decir, que quizás a veces te localiza con un 100% y otras con un 0%. Y en global, es un 74%. No tiene por que significa que "mas o menos acierta donde estás", puede significar que "un 74% de las veces acierta donde estás, con una precisión del 100% en relación a la antena de telefonía".
#22 entiendo. Gracias por tomarte el tiempo de explicármelo.
Y si me preguntan dónde estoy la respuesta tiene un 100% de presición.
#6 Salvo que alguien llame a su pareja, mientras está con alguien o en algo que no debiera saber...
geolocalizacion con mensajes masivos.
No parece la definición estándar de vulnerabilidad puesto que en mi opinión no hay código implicado.
#1
Para que sea una vulnerabilidad no es necesario que haya código implicado. Las vulnerabilidades son errores en los sistemas completos, no en las piezas de software. Hay vulnerabilidades incluso protocolarias, en la forma en la que las personas implicadas manejan la información.
Pero además, sí que hay código implicado: la confirmación de entrega del mensaje revela información sobre el destinatario (lo que tarda en aparecer la confirmación de entrega, basicamente). Eso es algo que lo hace un código, y ese código conceptualmente está mal, por que no debería revelar esa información ni directa, ni indirectamente.
#8 pero dos servidores podrían dar la misma cantidad de milisegundos exacta, ¿no?
#1 Entonces un slow loris tampoco es una vulnerabilidad?
#14 supongo que sí, pero no en el código ¿no?
Por cierto, no lo conocía, gracias por la info: https://en.wikipedia.org/wiki/Slowloris_(computer_security)
#1 Sí hay código implicado.
El "timing attack" es una estrategia relativamente común (en especial contra sistemas criptográficos) que aprovecha las debilidades de algoritmos que no son O(1) para extraer información. Éste es el caso.
Dado que sería imposible implementar un algoritmo O(1) para esta funcionalidad, lo que proponen los investigadores es añadir un componente aleatorio.
Me suena que ya se envió, era mediante el doble cheek o algo así.
Desde la aparición del teléfono móvil esto es más que sabido. En las conversaciones surgen preguntas sobre el posicionamiento, y entorno al 70% de las veces se dice la verdad. Solo es necesario identificar cuando es verdad y cuando no. Por ejemplo.
¿Dónde estas?
a. Estoy cagando (cierto).
b. Estoy llegando (muy sospechoso, y más si es la tercera vez que te lo dice).
#7 Estoy llegando significa ahora cuando termine esto que estoy haciendo, salgo.
Ya casi estoy significa que salgo ahora mismo por la puerta.
como mucho podrian llegar a saber a que distancia de ti esta el otro, en cualquier direccion, con esa precision y un conocimiento extenso de la red que os comunica.
supongo que el hecho de no querer hablar de lo que realmente es noticia obliga a elevar la categoria de cualquier chorrada.