EDICIóN GENERAL
378 meneos
1390 clics
Este envío tiene varios votos negativos. Asegúrate antes de menear

Puerta trasera en Whatsapp permite espiar los mensajes cifrados [EN]

Whatsapp permite cambiar las claves de cifrado con las que te comunicas con otros usuarios, sin mostrar ningún aviso al usuario. La vulnerabilidad fue reportada a Facebook por Tobias Boelter en abril de 2016 pero Facebook respondió que esto era "expected behaviour" (comportamiento esperado). Este comportamiento permitiría a Facebook, o a los Estados que se lo pidieran, espiar conversaciones de Whatsapp sin que el usuario lo sepa.

| etiquetas: whatsapp , seguridad , inglés , facebook
Comentarios destacados:                      
#59 Casi 60 cuñados expertos en seguridad, ninguno aportando nada constructivo. Qué sorpresa.

- Esto no es una puerta trasera. Es como funcionan muchos protocolos de cifrado E2E. Esta (mal llamada) puerta trasera también es aplicable a Signal, Telegram, y cualquiera por el estilo. Si no compruebas el fingerprint del contacto, es culpa tuya.

- La única diferencia entre WhatsApp y Signal, en este escenario, es que Signal tiene una configuración por defecto más restrictiva, por ser una aplicación orientada más a gente consciente de la seguridad. WhatsApp está orientado al público general. Y si tu par de claves cambia, por ejemplo porque te has cambiado de móvil, ¿querríais que no os llegue ningún mensaje de NINGUNA persona? ¿O preferiríais que siguiera funcionando como si nada? Ahora pensad en lo que quiere vuestra abuela, que es parte del target de WhatsApp.

- Si quieres activar la función en WhatsApp, sólo tienes que ir a Ajustes -> Cuenta -> Seguridad.

- Esta "puerta…...
Casi 60 cuñados expertos en seguridad, ninguno aportando nada constructivo. Qué sorpresa.

- Esto no es una puerta trasera. Es como funcionan muchos protocolos de cifrado E2E. Esta (mal llamada) puerta trasera también es aplicable a Signal, Telegram, y cualquiera por el estilo. Si no compruebas el fingerprint del contacto, es culpa tuya.

- La única diferencia entre WhatsApp y Signal, en este escenario, es que Signal tiene una configuración por defecto más restrictiva, por ser una…   » ver todo el comentario
#59 feature: "característica", para todos los que habláis español primitivo
#47 #50 Leed a #59 si creéis que con Telegram estáis más seguros...
#59 Gracias por la explicación :hug:
#74 Este hilo lo ha ganado #59 . Game Over Informaticuchos
Y sin pedirselo a facebook, no haria falta.
Hay expertos buscando zero days (cisnes negros como con el que nos colaron la estafa subprime) y cobrando una pasta ingente (programas de recompensas por busquedas de bugs, mercado legal de compra venta de bugs, lo llaman programa de recompensas, pero si hay algun acuerdo de confidencialidad no lo son)

Signal ya no es seguro (y puede que nunca lo fuera) (2016)
m.eldiario.es/cultura/tecnologia/privacidad/Signal-seguro-sigue-mejor-

#59 #8
#97 Ese artículo de El Diario es bastante sensacionalista en mi opinión. Puedes considerar que los metadatos no están seguros, pero nada más. El contenido de las conversaciones sigue estando a salvo.
#97 Un zero day y un cisne negro son dos cosas MUY diferentes. Un zero day es simplemente un bug que en el momento de descubrirse o explotarse no tiene correción oficial. Es decir, en el momento de ser descubierta, toda vulnerabilidad es un zero day.
#97 como te dije:

Criptógrafos de todo el mundo cargan contra 'The Guardian' por desinformar sobre la seguridad de WhatsApp
www.meneame.net/story/criptografos-todo-mundo-cargan-contra-the-guardi
#59 De hecho ya hay un envío desmintiéndolo, vamos, que este envío es cuando menos sensacionalista o directamente erróneo.

www.meneame.net/story/no-no-habia-agujero-seguridad-whatsapp-tus-mensa
we want to make sure people’s messages are delivered, not lost in transit

lost =/= undelivered

Esa forma de excusarse ya denota que intenciones hay detrás de esta configuración por defecto, queriendo dar a entender que si no hicieran esto se perderían mensajes (el emisor creyese que ha sido enviado correctamente pero el receptor nunca lo recibiese), cuando es tan simple como notificar al emisor de que no se ha podido enviar para que manualmente lo vuelva a enviar.

#59, esta puerta…   » ver todo el comentario
#59 Gran comentario. Es verdad que hay mucho cuñado en el mundo.. pero qué me dicen de la calidad del periodismo de The Guardian y demás medio de copia y pega. Vaya periodismo. Quién se equivoca el investigador de California o la periodista.

Por cierto, ya que le das al tema. Qué modelo de confianza es el siguiente, si eres tan amable.

gultsch.de/trust.html

¿Es parecido al de Whatsapp?

Gracias, apañaó
#59 Exactamente ¿Cómo dice que sabes que esto afecta igual a Signal y Telegram? ¿Acaso has verificado que estos programas aceptan el cambio de claves de cifrado sin avisar al usuario y enviando mensajes pendientes (al contrato de lo que afirma el artículo)?

¿O será más bien que ir de cuñado y decir aquello de "todos son iguales" es muy fácil y asegura muchos votos? ¿Qué opinas #105?
Ya lo dije el año pasado cuando activaron el cifrado. Si el código fuente es cerrado te la pueden colar y lo más probable es que lo hagan pues no se puede auditar por terceros. La seguridad nunca puede ser total pero si el código fuente del programa es propietario, por definición no puede usarse para nada que pueda comprometerte.

www.meneame.net/c/19200779
#7 Cierto, pero teniendo en cuenta que es código java, decompilable, pues si que se puede auditar haciendo ingeniería inversa.
#7 a mi la gente no paraba de decirme que no, que whatsapp es seguro, porque usa la misma encriptacion que signal, y no entendian que DA IGUAL que la encriptacion sea solida si la implementa un manco (con todo mi respeto hacia los mancos).
Y la semana pasada los medios americanos recomendaban desinstalar Telegram y usar WhatsApp como medio seguro. ¡Zas, en toda la boca!  media
#47 seguro, seguro que es por nuestra seguridad que lo recomiendan
que raro.......
#29 Porque sólo te dan el dinero si descubres una diferencia entre la especificación del protocolo y su implementación, concretamente si el error está en la implementación. En este caso el problema de seguridad está en la propia especificación del protocolo así que les da igual y no te dan premio.
#31 Gracias por la explicación, podría ser cierto que se realizara un ataque exitoso fuera de los parámetros que proponen y claro, en teoría no habría premio.

Aunque me llama la atención un artículo sobre estos concursos en los que afirman haber entregado 100.000 $ a alguien que descubrió una vulnerabilidad fuera de los parámetros del concurso telegram.org/blog/crowdsourcing-a-more-secure-future

Es decir, que si reportas algo malo, te pueden premiar igualmente, lo que me parece bien si es así.

Lo raro es que tras unos cuantos años ya no haya salido nadie afirmando haber roto su cifrado, y eso que algo de ruido han hecho, se les ha relacionado con ISIS y cía.
#34 Que no: En Telegram por defecto, el cifrado de los chats no es end-to-end, eso significa que Telegram guarda tus mensajes en sus servidores con una clave que ellos tienen. Eso significa que no es seguro, punto (al igual que en la noticia, Telegram podría decidir darle esa clave a cualquier gobierno). Eso es así por protocolo y no lo quieren cambiar. Son plenamente conscientes de ello.
#35 sí, yo no he dicho que estén o no cifrados e2e, no lo publicitan como tal, su método de cifrado está en su web.
#39 Si la comunicación no usa cifrado end-to-end, entonces no es segura. Porque eso significa que tus mensajes en algún momento son legibles por un third-party, como mínimo por Telegram en este caso, pero también por cualquiera que a quien Telegram entregue sus claves.
#42 Usa chat secreto y ya lo tienes. No veo la incongruencia como ya te han comentado. Si te dijesen que por defecto usa e2ee pero yo no lo he visto.
Whatsapp/Facebook espiando nuestro datos? Quién lo habría previsto!
Normal una empresa que nunca ha optado por la seguridad de sus mensajes.... No me extraña para nada está noticia. Aunque algunos mencionarán Telegram, pero seguro que ni esa se libra de algo.
#5 Telegram no es seguro, por defecto no cifra end-to-end en la versión web, y no soporta cifrado end-to-end para grupos. Aconsejaría Signal, que además es libre.
#8 Al parecer Signal ya no tiene soporte para servidores federados, y tiene pinta de ir a peor. Ahora mismo me decantaría por riot.im
#11 Eso no compromete su seguridad. Los expertos siguen considerando Signal seguro.
#12 Los que se escriben conmigo han abandonado Signal. No les ha olido bien la eliminación de la federación.
#12 ¿Quiénes son los expertos?
www.titus-stahl.de/blog/2016/12/21/encrypted-messengers-why-riot-and-n


Editado con tachado porque #16 ya había puesto ese enlace.
#12 #11 Que putada necesitar tanta seguridad, yo asumo que en este mundo de apps eso es imposible y creo que la mejor solución para no caer en la paranoia es simplemente no tener nada importante que esconder.
#46 xD xD xD
"no tener nada importante que esconder"
xD xD xD

Siempre hay algo que esconder. El problema es que cuando te des cuenta será demasiado tarde.
#46 La solución es ser consciente de que si quieren espiarte, te espiarán hagas lo que hagas.
#46 El tema no es tener nada que esconder, es la cesión pseudoconsentida total de tu privacidad que haces. Tienen mucha información, la saben analizar, y la usarán cuando lo necesiten.
#46 solo por el hecho de estar vivo ya incumples varias normas. Sólo depende de ellos buscarte o no las cosquillas.
#11 Buen aporte, no lo conocía. Este artículo explica bastante bien las diferencias con Signal y qué le falta a Riot a nivel de seguridad. www.titus-stahl.de/blog/2016/12/21/encrypted-messengers-why-riot-and-n
#16 En un vistazo rápido veo que el artículo tiene errores:

"Signal only works on Android when your phone has the Google Play Framework"

Cuando hay una versión funcional en F-Droid.

Pero también veo comentarios acertados:

"Riot’s encryption is not yet fully stable and, more importantly, it is not yet enabled by default in chats"

Algo que corroboro. Cuando aplicas el cifrado, si se actualiza alguno (y no todos) de los servidores implicados, aparecen problemas.
#17 Cuando hay una versión funcional en F-Droid.
Yo me he bajado Signal de F-Droid varias veces y nunca he conseguido hacerlo funcionar porque siempre me pedida tener intalado Google Play Services.
¿Puedes concretar a que versión funcional te refieres?
#19 Error mío. Lo estoy mirando, y la versión que tube hasta hace un mes, sin Google Play, venía de un repo no oficial de F-Droid:

fdroid.eutopia.cz
#21 Entonces se trata de un fork hecho por otra gente y no de que los de WhisperSystems ofrezcan dos versiones, ¿no?
Yo personalmente no entiendo porque WhisperSystems implementa Signal con ese requerimiento y sigo sin encontrar una explicación, siempre que busco sobre ello solo encuentro a gente haciéndose la misma pregunta.

Edito: Según github.com/LibreSignal/LibreSignal han tenido que abandonar el proyecto por quejas de WhisperSystems.
#5 Antox, Kontalk (con XMPP) y tal...

{0x1f517} github.com/Antox/Antox
{0x1f517} wiki.tox.chat/clients
{0x1f517} www.kontalk.org

También lo que comenta #11.

/cc #16
#8 en la versión web

no sabes ni de que hablas :palm:

ni en web, ni en desktop, ni en mobile ni en ninguna aplicación cifra e2e a menos que abras un chat secreto (solo disponible en mobile y osX) lo cual no quiere decir que la comunicación no vaya cifrada

Las comunicaciones van cifradas y en Telegram no hay fallos de seguridad, cuando la conversación está en varios dispositivos (por defecto), Telegram guarda la clave de cifrado en un datacenter diferente al que…   » ver todo el comentario
#22 Si Telegram tiene acceso a esas conversaciones que no son e2e (lo cual al parecer es por defecto), entonces no es seguro. Es un "server in the middle" (un tipo de man in the middle) como una casa.
#25 Es que si no elijes la opción segura no es seguro...
Ahora llamar inseguro a Telegram porque tienes que habilitar la opción segura si lo quieres cifrado...

Es como llamar a los coches inseguros porque alguien no se pone el cinturón de seguridad...
#55 Si un sistema no es seguro por defecto, entonces no es seguro.
#22 "Las comunicaciones van cifradas y en Telegram no hay fallos de seguridad"

Te falta poner un "conocidos hasta el momento".
#26 Es mucho peor. Según lo que él mismo dice, Telegram no es seguro. Lo de que ofrecen 200k está muy bien, pero lo que no dice es que los términos en los que ofrecen esa cantidad son absurdos.

A ver, él mismo está diciendo que Telegram (y cualquiera que tenga su clave, como por ejemplo un gobierno que se lo pida) puede ver el contenido de las conversaciones que no son e2e, y por defecto no son e2e. De hecho esto es muy parecido a la vulnerabilidad de la que se habla en esta noticia.

Pero se escuda diciendo "no sabes ni de qué hablas". Claro, claro... ataque ad hominem.
#28 no soy un experto en concursos de cifrado, ¿por qué dices que los términos son absurdos?
#22 no sólo eso:

Versión güé, pecé, mac, aifón, apple guatch, android...
#22 Ese contest es una mierda moxie.org/blog/telegram-crypto-challenge/

Si no es e2e significa que en Telegram es peor que en WhatsApp puesto que Telegram tiene aceso a tus claves siempre. En WhatsApp tal y como se explica en blog original del researcher tobi.rocks/2016/04/whats-app-retransmission-vulnerability/ es explotable no porque WhatsApp guarde tus claves si no porque Alice reenvia el mensaje y WhatsApp lo envia al "nuevo" Bob sin avisar a Alice de que Bob no es el mismo. Es decir envia el mensaje y luego notifica en vez de notificar primero.

A tener en cuenta Telegram incumple una de las primera normas en seguridad informatica: Don't roll your own crypto
#8 Signal es un coñazo de usar.

Le propuse a mi novia usarlo pero tuvimos que abandonarlo antes de empezar porque la versión móvil es mala, la de ipad es horrible y la versión pc es pésima.
¿Por qué entrar por atrás cuando tienes la puerta delantera con alfombra y copa de bienvenida a tu disposición?
#2 a mi me preocupa mas el propio apk de whatsapp que se actualiza de vez en cuando... al menos telegram puedes compilarlo tu mismo, pero telegram no es seguro ni por asomo tampoco...
#15, sí, eso de que se actualice y que no se pueda compilar es super importantísimo :-P . Antes de compilarlo ¿te revisas también todas las líneas de código no sea que a la comunidad se le haya pasado algo? xD
#85 Es importantísimo, sí. Tú puedes pagar la mejor auditoría del mundo, pero si te lo actualizan cambiando lo que les da la gana la auditoría anterior ya no sirve de nada.
#85 puta bida tete
#2 ¿Cual es la puerta delantera?
#66 Hola Mark, soy del FBI/CIA/KGB/MI5. Necesito los datos y mensajes de estos terroristas
#72 ¿Whatsapp ha cedido datos de sus usarios al FBI?
#76 la nsa tiene servidores en sus dc, ya se sirven ellos solitos
#79 ¿Algún link de esto?
#82 SSSHHHHHHHHHHH  media
#2 No sé si sabes de lo que hablas, pero me resultaría extraño, por lo que dices. Whatsapp ahora está cifrado extremo a extremo, por lo que en principio no se puede leer lo que hablas salvo que sea a través de puertas traseras. Extremo a extremo significa que ni siquiera el proveedor del servicio, los adminsitradores de Whatsapp, podrían ver lo que estás hablando.
#90 ¿Quieres comprar el palacio de la Moncloa? Te lo vendo barato
#91 A ver, no digo que sea seguro, digo que cualquier acceso a la información privada es mediante puertas traseras. La que tú llamas delantera no puede serlo, es trasera. No es confianza o ingenuidad, es nomenclatura.
¿A alguien le sorprende? Si hay en móviles, routers, sistemas operativos... Y siendo de Facebook. Demasiado ha tardado en salir.
Vaya, tendré que hablar menos de cosas triviales que no importan a nadie.
#38 Esas cosas mueven cientos de miles de millones de euros en el mundo.
#38 "Decir que no te importa la privacidad porque no tienes nada que ocultar es como decir que no te importa la libertad de expresión porque no tienes nada que decir".
Es algo que dí por hecho. No tenía sentido tardar tanto en implementar una tecnología de cifrado YA DESARROLLADA en Signal. Si tardaban tanto era precisamente para "adaptarla" a sus necesidades.

Por éso sigo usando solo Telegram.
¡Joder! ¡Qué sorpresa!
Directiva de seguridad de Facebook y por ende aplicada a todos tus productos, como Whatsapp:
"Te vamos a dar un sistema de seguridad, encriptado por nosotros, con el que vas a poder configurar quien puede o no puede ver tus mensajes dentro del grupo de usuarios de la plataforma. Por supuesto nosotros, los administradores, y quien pague por ello podrán ver todo lo que nosotros queramos. No te tenemos que decir que es lo que vamos a vender de tus datos porque ya has aceptado en las condiciones que todo lo que pones en nuestra red nos pertenece".
Uy vaya! No me lo esperaba!
#4 Mi contactos están consternados. Creo que se van a pasar todos a clientes libres XMPP + OTR.
Por estas cosas es que los que nos preocupamos por nuestra privacidad usamos Telegram.
#10 Todo lo que esté en la nube es inseguro. Ahora bien, que nos pases ese enlace donde dice esto:

Por otra parte, en la actualidad Telegram no es especialmente más seguro que, por ejemplo, las conversaciones entre dos personas en WhatsApp, que usan cifrado de punto a punto.

Creo que, o no has pasado del titular, o simplemente nos quieres hacer reír.
#18 #10 en la parte de abajo comentan que Telegram se puso en contacto con ellos y les dejo el culo con roto a los niño rata de hipertextual.
#23 Rectificaron un par de cosas, pero lo importante no. Lo importante es que Telegram permite comunicaciones sin cifrado end to end y de hecho es el comportamiento por defecto. Eso significa que Telegram tiene acceso al texto en claro de esas conversaciones.
#18 Todo lo que esté conectado a Internet tiene potencial de ser comprometido de manera remota. No es cuestión de la nube o no nube.
#27 Yo no he dicho lo contrario tampoco. Pero más que nada me refería a esta moda de ya hace unos años de "lo que está en la nube es súper cool"
#30 y lo es.

Tengo todos mis libros del trabajo en la nube y pude mudarme sin transportar una tonelada de papel en documentos
#65 Si claro, y también me dirás que esos libros que están en la nube son de tu propiedad. :palm:
#73 No, no pensaba dirigirte la palabra.

De hecho, voy a bloquearte
#6 telegram no cifra tus cosas en sus servidores, ellos peuden ver y dar a gobiernos si lo consideran toooodas tus fotos y conversaciones....solo si usas el modo seguro que nadie usa estas mas a salvo.
#14 Sí lo cifran, pero ellos tienen la clave (y se la pueden dar a cualquier gobierno).
#6 no sirve de nada que unos cuantos nos hagamos de Telegram, solo hablaríamos entre nosotros. Habría que actuar en masa.. El problema es que leeremos este artículo, nos escandalizaremos, menearemos el artículo y abriremos el Whatsapp.
Mi recomendación es un protocolo estándar, libre e extensible como XMPP; conocido anteriormente como Jabber. De clientes recomiendo Conversations (Android) y Gajim (GNU/Linux). Para cifrado E2E OMEMO.

conversations.im/omemo/

Servidores públicos hay bastantes, aquí una comparativa.

gultsch.de/compliance.html

Saludos.
#60 pues claro joer. Es de pura pena que no exista ningún estándar abierto de comunicación.

Todo se ha hecho a base de aplicaciones privadas.

La Comisión Europea, si quieran trabajar para los ciudadanos, deberían realizar un protocolo europeo y después en el Parlamento, promulgar una ley que castigue a las empresas extranjeras que almacenen en el extranjero información confidencial de clientes europeos
Qué gran sorpresa.
Desde el mismo momento en que ellos quieren monitorizar los mensajes para sacar beneficio de la información que compartimos siempre existirán vulnerabilidades.
La puerta trasera consiste en que es posible que WhatsApp cambie la clave de cifrado siempre que haya mensajes pendientes de envío.

Tooma.
'Just anoher' queja sobre productos gratuitos, con licencia de propiedad...
Estos hilos en que se menciona algo relacionado con la informática acaba siempre en una batallita de "a ver quien sabe más" y lo más curioso es que todos olvidan que la mejor forma de evitar que se sepa un secreto es callarselo, o como mínimo, no usar medios de terceros para comunicarlo.
ya sabéis cambiar a signal
Pues nada. A probar Riot.
Pues si supieseis lo que se podía hacer antes con una librería de PHP y el imei del teléfono os habrías desinstalado Whatsapp hace ya unos años xD xD xD xD xD xD
Nadie da duros a pesetas
Alguien tenía dudas de que el cifrado de whatsapp les iba a impedir a ellos leer cualquier conversación... :palm:
Y díganme, ¿cual es la noticia?.
#41 La noticia es que ahora hay pruebas y antes era especulación.
Hum... Aqui todo el mundo dice dos cosas:
Que es seguro
Y que no lo es

Yo me pregunto; ¿Como sabeis algunos que la NSA y el FBI tiene acceso a datos de WhatsApp?
¿Y como sabeis otros lo contrario?
Porque fuente no habeis puesto ninguna.


Ni que trabajarais en el departamento de seguridad estadounidense...
«12
comentarios cerrados

menéame