Portada
mis comunidades
otras secciones
#9:
#8 Bueno, es que esto no es simple fallo de programación. Esto implica tener acceso al terminal y hacer una trampa para saltarse el sistema que tiene de verificación (haciéndote pasar por otra persona).
Una cosa es un "bug" y otra cosa esto, que yo no lo considero un bug, ni un fallo de seguridad.
De hecho no creo que el sistema de verificación esté mal ni que deba ser corregido.
Una cosa es un "bug" y otra cosa esto, que yo no lo considero un bug, ni un fallo de seguridad.
De hecho no creo que el sistema de verificación esté mal ni que deba ser corregido.
#29:
#6 El backup no se puede descargar porque se guarda en local, en el teléfono. Para recuperar la cuenta parece que tienes que esperar 30min.
Esto no es un problema de whatsapp, es un problema del sistema, también se puede hacer con una cuenta de gmail, le das a recuperar cuenta, eliges la llamada telefónica, pones el código y a correr.
Esto no es un problema de whatsapp, es un problema del sistema, también se puede hacer con una cuenta de gmail, le das a recuperar cuenta, eliges la llamada telefónica, pones el código y a correr.
#66:
Vamos a ver, es absurdo y no es ningún fallo de seguridad. ACCESO FÍSICO ES ACCESO TOTAL.
#11:
#10 OK, yo considero de todas formas que no hay ningún fallo en la forma de verificación.
Aquí el problema es que te haces pasar por otra persona gracias a que le has "robado" su terminal.
Y siguiendo tu ejemplo, efectivamente, si me robas el coche y dentro del coche he dejado las llaves de casa y con esas llaves entras en mi casa, no se puede afirmar que la puerta de mi casa tenga ningún fallo de seguridad.
Aquí el problema es que te haces pasar por otra persona gracias a que le has "robado" su terminal.
Y siguiendo tu ejemplo, efectivamente, si me robas el coche y dentro del coche he dejado las llaves de casa y con esas llaves entras en mi casa, no se puede afirmar que la puerta de mi casa tenga ningún fallo de seguridad.
#12:
#11 Y tu puerta hará perfectamente su cometido, dejarse abrir sólo por aquella llave que tenga permiso y aún así estará dejando pasar a alguien que no está autorizado, algo que podríamos definir como fallo de diseño. Y esto es algo que se puede mejorar (¿quizás doble verificación de llave y sensor biométrico?).
De ahí que saliese en su día la verificación en dos pasos por poner un ejemplo.
De todos modos nos estamos yendo un poco del tema principal de tu comentario que era el no desvelar este tipo de fallos
De ahí que saliese en su día la verificación en dos pasos por poner un ejemplo.
De todos modos nos estamos yendo un poco del tema principal de tu comentario que era el no desvelar este tipo de fallos
#17:
A ver, que pare hacer esto hay que tener acceso al terminal del que se quiere quitar el whatsapp.
En resumen: hay que recibir una llamada en el terminal de la víctima, y la tiene que responder el atacante. Vamos, un lio. Si tienes tal acceso al teléfono, casi puedes espiarle los mensajes directamente.
No es demasiado práctico (la víctima se entere en seguida). No es útil ni para novias/novios celosas, ya que es más cómodo cotillear directamente a la vieja usanza.
En resumen: hay que recibir una llamada en el terminal de la víctima, y la tiene que responder el atacante. Vamos, un lio. Si tienes tal acceso al teléfono, casi puedes espiarle los mensajes directamente.
No es demasiado práctico (la víctima se entere en seguida). No es útil ni para novias/novios celosas, ya que es más cómodo cotillear directamente a la vieja usanza.
Comentarios
#10 OK, yo considero de todas formas que no hay ningún fallo en la forma de verificación.
Aquí el problema es que te haces pasar por otra persona gracias a que le has "robado" su terminal.
Y siguiendo tu ejemplo, efectivamente, si me robas el coche y dentro del coche he dejado las llaves de casa y con esas llaves entras en mi casa, no se puede afirmar que la puerta de mi casa tenga ningún fallo de seguridad.
#11 Y tu puerta hará perfectamente su cometido, dejarse abrir sólo por aquella llave que tenga permiso y aún así estará dejando pasar a alguien que no está autorizado, algo que podríamos definir como fallo de diseño. Y esto es algo que se puede mejorar (¿quizás doble verificación de llave y sensor biométrico?).
De ahí que saliese en su día la verificación en dos pasos por poner un ejemplo.
De todos modos nos estamos yendo un poco del tema principal de tu comentario que era el no desvelar este tipo de fallos
#12 Pero verificación en dos pasos también fallaría aquí porque tienen acceso al terminal físicamente
En cualquier caso, yo solo soy partidario de difundir este tipo de fallos cuando todo lo demás ha fallado (información al responsable, denunciado en su caso si procede, etc), pero que es una opinión y opción personal, vaya
#14 La verificación en dos pasos utiliza SMSs. Será un fallo de seguridad si están activas las notificaciones de SMS con previsualización antes del desbloqueo. Si no puedes leer el contenido del SMS sin desbloquear el terminal, habrás parado al ataque.
Como dice el artículo: "Es un método similar al de robar la cuenta de WhatsApp utilizando Siri y la previsualización de códigos SMS" http://www.elladodelmal.com/2013/05/un-pequeno-truco-de-bar-de-iphone-con.html
#14 La verificación en dos pasos se basa en algo que sabes y en algo que tienes. Así que aunque tengas el móvil no podrás hacer nada si no sabes la contraseña.
Vamos a ver, es absurdo y no es ningún fallo de seguridad. ACCESO FÍSICO ES ACCESO TOTAL.
#66 No tiene por qué, para algo existe el cifrado de datos. De todas formas si esto es un fallo de seguridad es un fallo de seguridad del móvil que te permite responder llamadas sin desbloquear el móvil primero. Es como si tienes un servicio de correo que no necesita contraseña y dices que todos los servicios que te permiten reiniciar tu contraseña utilizando tu dirección de correo son inseguros por esto.
A ver, que pare hacer esto hay que tener acceso al terminal del que se quiere quitar el whatsapp.
En resumen: hay que recibir una llamada en el terminal de la víctima, y la tiene que responder el atacante. Vamos, un lio. Si tienes tal acceso al teléfono, casi puedes espiarle los mensajes directamente.
No es demasiado práctico (la víctima se entere en seguida). No es útil ni para novias/novios celosas, ya que es más cómodo cotillear directamente a la vieja usanza.
#17 El problema esta cuando te roban el telefono. El ladron tendra acceso a tu cuenta de whatsapp para lo que quiera, aunque el telefono requiera una contraseña para ser desbloqueado.
#31 Tiene que saber tu número de teléfono.
#31 Haces un duplicado de tu tarjeta y vuelves a tener tu número de teléfono para "recuperar" tu whatsapp
#52 Qué pasa si el ladrón era tu compañero de trabajo, que se ha copiado tu whatsapp mientras has ido a cagar dejando el móvil cargando en tu mesa, y luego se ha dedicado a enviar mensajes insultantes a tu jefe sin tu conocimiento.
#31 Si te roban el teléfono pueden hacerte de todo...
#17 La cosa es quesi el atacado tiene el móvil bloqueado por pin o por patrón no puedes ver los mensajes. Sin embargo para aceptar la llamada de wassap no hace falta desbloquear el móvil.
Eso sí, se dará cuenta en seguida, pero según el artículo no lo puede solucionar hasta pasada media hora. El atacante tiene 30 minutos para poder liarla
#60 Si tienes el móvil, fisicamente, puedes acceder a los datos (excepto si está cifrado). No niego que esto no sea útil, pero bastante poco.
#70 claro, puedes desmontarlo y desoldar la memoria interna y leerla después. O puedes flashear una ROM nueva con la que tengas acceso total. O también puedes intentar desbloquear el móvil por fuerza bruta; si miras la pantalla de refilón puedes ver los rastros recientes y tal vez reduzcas el tiempo necesario.
Todo ello mucho más sencillo que aceptar una llamada de un par de minutos, sin lugar a dudas...
#78 No, si por supuesto es más fácil, pero, quien quiere leer tus mensajes?
Si te han robado el movil, pasan bastante de eso. Lo que quieren es vender el terminal.
Si es una investigación policial, hacen un análisis forense como dios manda.
Las personas más probables a las que le puedan interesar espiar los whatsapp son los padres que vigilan a sus hijos o las parejas celosas
Y de poco les sirve, ya que es super cantoso. En cuanto tengan el whatsapp en el nuevo terminal, se dejan de recibir en el antiguo... O sea, q solo sirve para una vez.
En resumen, esto no es un "hackeo" ni una vulnerabilidad, ni tampoco exclusivo de WhatsApp....
Umm...no sólo wassap, hay multiples aplicaciones/servicios que requieren tu teléfono para confirmar, si alguien pillar tu teléfono y no está bloqueado te puede montar un buen jaleo
#13 En otras noticias del día: "si alguien tiene las llaves de tu casa, ¡puede entrar en tu casa!".
#0 Interesante información, gracias por subirla
#1 Seguro que muchos no utilizan bien esta información. Pero esta bien conocerla para tomar precauciones.
#1 Si tu lo dices, yo a cada uno que conozco que tiene movil con whatsapp no se separa de el ni muerto, de hecho se pasan todo el día con los mensajitos de mierda, como para que se lo arrebates a la fuerza o le digas "porfa dejamelo que voy a clonar tu whatsapp".
#55 El problema es que te roben el movil y que antes de dar de baja el numero si te lo robaron estando encendido el ladron pueda hacer la cuenta antes de que se apague
#72 Después de mi explicación una de dos, o se es muy despitado, o te lo roban de un tirón, porque como dije la gente suele llevarlo pegado con glue3 en las manos, al menos es lo que yo veo cada día por las calles además, si te lo roban cuando lo das de baja se presupone que invalidan la SIM y te dan otra que me imagino que aunque tenga el mismo número, algo tendrá diferente para que nadie pueda usar el que te han robado.
¿Whatsapp no se desactiva en un terminal al activarlo en otro? En ese caso enseguida nos damos cuenta y lo solucionamos. Eso sí, entre una cosa y otra pueden haber descargado el backup de mensajes y leer todos excepto los más recientes, pero nos daremos cuenta de que algo ha pasado. Y no podrán leer los nuevos que escribamos o recibamos.
#6 30 minutos entre swap y swap. Lo pone en la noticia, pero ya sabemos que leerla es de cobardes de la pradera.
#29 #23 Pero estamos de acuerdo en que no pueden seguir espiándote una vez que te das cuenta y lo reactivas, ¿verdad? Ni se quedan tu cuenta para siempre ni pueden espiarte una vez te des cuenta y reactives, y darse cuenta es trivial.
#39 ¿Y cómo afecta esto a la activación web? ¿Se puede activar la versión web con la cuenta robada y conservar el acceso web cuando reactiven en el teléfono del dueño legítimo? No creo, pero...
#39 No, una vez que te das cuenta recuperas el whatsapp y el otro no puede seguir espiándote.
#45 Pero ese backup depende de tu cuenta de iCloud y esa cuenta no te la han robado.
#6 El backup no se puede descargar porque se guarda en local, en el teléfono. Para recuperar la cuenta parece que tienes que esperar 30min.
Esto no es un problema de whatsapp, es un problema del sistema, también se puede hacer con una cuenta de gmail, le das a recuperar cuenta, eliges la llamada telefónica, pones el código y a correr.
#29 Pues yo creo que tengo el backup en la nube (iCloud de Iphone)..
Es impresionante la de problemas de seguridad que han salido de WhatsApp desde que apareció... Madre mía.
#5 No como que nunca ha tenido problemas de seguridad conocidos.
Jodo con whatsapp, es un nido de jaleos
Se me ocurre otra manera de robar cuentas de Whatsapp, SMS, teléfono y todo lo demás:
-Llamas a la operadora.
-Dices que has perdido la tarjeta SIM, que te envíen un duplicado a casa.
-Estás en esa casa a la hora que llegue el reparto y convences para que te lo entreguen a ti.
#43 Lo cual, de hecho, sería bastante fácil. Las veces que justo al volver a casa me he encontrado al cartero, con preguntarle si tenía algo para mi piso+puerta ha sido suficiente para que me diese lo que fuese. Incluso cuando en algún envío piden DNI+firma, tampoco cuesta tanto, teniendo en cuenta que la mayoría de las veces ni miran DNI, ni que la persona firmante corresponda con el destinatario.
Y tampoco es que las cerraduras de los buzones sean especialmente difíciles de abrir.
Qué noticia más cachonda, para robar la cuenta de WhatsApp resulta que hay que robar el terminal
Y tampoco es que esté bien redactada, me ha costado bastante entender lo de "Esta llamada siempre se podrá atender siempre, ya que a día de hoy, ni iPhone ni Android tienen una opción de "desbloquear terminal para responder llamadas"."
Yo hubiera escrito "En los teléfonos iPhone o Android, se pueden recibir llamadas aunque el terminal esté bloqueado".
Tras entenderlo entiendo un poco el sentido del supuesto fallo de seguridad que ve el autor, cuando robas un terminal, está bloqueado, por lo que no puedes enviar llamadas ni enviar mensajes. Pero si alguien llama, puedes recibir la llamada.
Puestos a robar el terminal podríamos robarlo ya desbloqueado
#32 es que no tienes que robar nada. solo tener acceso y responder la llamada, pero no es lo mismo. Por ejemplo piensa en el típico compañero de curro que tiene la (fea) costumbre de dejarse el móvil en su puesto (p.ej. cuando va a tomar café, al baño,etc) y además justo cuando se va, siempre le llaman y suena ese horroroso tono de llamada que tanto odias.
Puedes seguir este articulo para acceder temporalmente a la cuenta. Y no ha sido necesario robar nada. Sólo esperar a que se vaya al baño para hacer esa llamada de verificación y responder la llamada.
#63 Bueno, entonces tampoco se puede robar la cuenta Whatsapp como dice el titular del artículo, porque el dueño puede volver a recuperar la cuenta (según dice el artículo, como mínimo media hora después).
Recuerdo unos chavales que un día se encontraron en la calle las llaves de un deportivo y como era una zona con pocos coches pudieron localizarlo fácilmente. Los tíos se fijaban cuando no iba a estar el dueño y se iban a dar una vuelta con el coche, pero lo volvían a dejar aparcado dónde estaba. Podríamos decir entonces que no robaban nada, porque siempre lo devolvían. Pero si les hubieran pillado me temo que les hubiera caído un puro por robo.
#68 En este caso es más divertido, porque el atacante puede suplantar tu identidad de cara a cualquier conocido común.
Un poco como si los chavales esos se dedicasen a saltarse semáforos en rojo, límites de velocidad junto a un radar, etc.
Android viene con un cliente de mensajeria bien guapo y que cualquiera con una cuenta de google puede usar. Se llama google hangouts
#56 Y también tiene una cómoda versión web, y llamadas... Personalmente me parece infinitamente mejor.
PERO es necesaria la cuenta de Google para usarlo, y la mayoría de la gente sólo se hace cuentas de Whatsapp porque no necesitas saber más que el número de teléfono para comunicar con ellas, no el email de la cuenta de Google.
#69 Y lo más importante: Whatsapp no necesita contraseña. ¡Es el paraíso de los idiotas!
Lo único que puede hacer eso es que el atacante envíe o reciba mensajes durante esos 30 minutos (si te das cuenta, claro). No ver tus conversaciones antiguas.
#22 Y ademas solo a los números de teléfono que tenga el atacante en su agenda. Vamos que me preocupa mas que me espie mi novia por encima del hombro
#65 Con 30 minutos es más que suficiente para enviar un "cómo me infla los huevos el puto Fulanito" al número tu jefe, siendo Fulanito tu jefe.
#74 Para hacer eso el atacante debería conocerte a ti y a tu jefe... cambia las amistades.
xD
#82 Tengas las amistades que tengas, lo normal es que todos tus compañeros de trabajo te conozcan a ti y a tu jefe... con uno al que le caigas mal y te quiera putear, ya tienes un problema.
Es exáctamente igual de fácil con Telegram, antes de que lo diga nadie.
Los Titulares con las Capital Letters solo son para el New York Times. En España es Incorrecto poner Mayúsculas en cada Puta Palabra.
#27 Amigo... así sí.
De todas formas el whatsappweb es un peligro. Con un poco de ingeniría social, y con el firebug o un proxy se puede modificar el código de la propia página de web.whatsapp.com para hacer phising de que es una promo o algo... Luego a mano se cambia la url en el navegador por mipromo.midominio.es, o se puede hacer un popup con la url deshabilitada y un iframe y se puede exponer la página en una tienda, un certamen, lo que sea.
Yo lo hecho (en casa) por probar y funciona. Lo único que el código QR caduca. Pero quizás se pueda hacer click de forma automática con un setInterval y un click sobre el id del código QR.
No sé si es buena idea difundir este tipo de información...
A fin de cuentas se está enseñando al grueso de los usuarios cómo cometer un delito; sí que es cierto que el problema está en Whatsapp, pero, el "fallo" no lo puede solucionar o controlar el usuario final, es cosa de Whatsapp.
No sé, si mañana alguien descubriera una manera de entrar en las cuentas corrientes de X banco ¿debería divulgarlo?
Es comprometer a millones de usuarios...
#7 El no da a conocer este tipo de fallos es simplemente una forma de perpetuarlo y que no se dignen a corregirlo.
#8 Bueno, es que esto no es simple fallo de programación. Esto implica tener acceso al terminal y hacer una trampa para saltarse el sistema que tiene de verificación (haciéndote pasar por otra persona).
Una cosa es un "bug" y otra cosa esto, que yo no lo considero un bug, ni un fallo de seguridad.
De hecho no creo que el sistema de verificación esté mal ni que deba ser corregido.
#9 Es que una agujero de seguridad no tiene por qué ser un fallo del software, también puede ser el incorrecto diseño del procedimiento por el cual se verifica la pertenencia del teléfono, como este es el caso.
Estamos hablando de que aún teniendo el teléfono bloqueado una persona puede sustraer los mensajes de tu cuenta. Es como si yo te robo las llaves del coche y gracias a ello puedo entrar a tu casa.
#9 #10
Pensándolo creo que si es un fallo de seguridad, porque whatsupp debería de saber que se puede confirmar con el teléfono bloqueado. Es tan sencillo como añadirle un paso. Confirmar desde el dispositivo en el que esta instalado whatsupp si este esta activo. Aun así saldrían trucos seguramente.
Si tienes Whatsupp en teléfono A, bloqueado.
Desde teléfono B lo activas con numero A.
A recibe la llamada, coges.
B ha sido activado correctamente.
Creo que el tema seria que la propia aplicación identifique la llamada y te pida confirmar si A y B son diferentes.
Si tienes Whatsupp en telefono A, bloqueado.
Desde telefono B lo activas con numero A.
A recibe la llamada, coges.
A al recibir la llamada muestra una notificación en Whatsupp, ¿ha solicitado la confirmación con llamada?
Si: B ha sido activado correctamente.
No: B no se ha podido activar.
Si estas activando tu Whatsupp desde el numero de móvil legitimo te va a saltar ese mensaje.
Si lo haces desde un emulador te saltara pero en tu móvil, protegido contra bloqueo.
Solo se me ocurre que si estas sin datos o conexión wifi pero si recibes llamadas no podrías activarlo por ese método, pero es que tampoco podrías usar whatsupp.
En principio parece sencilla la solución.
#10 Yo creo que si tienes el teléfono bloqueado con PIN no te pueden hacer nada.
Solución: Poned el pin siempre!!! Conozco mucha gente que tiene el movil sin pin, con lo que eso supone en caso de robo
#9 Para mi es un fallo en el diseño. La fortaleza de un mecanismo de seguridad es la de su punto más débil. En este caso, se ha diseñado un mecanismo basado en una llamada y las llamadas las puede coger cualquiera con acceso al dispositivo, esté bloqueado o no...
#9 ¿No te parece un fallo de seguridad? ¿te parece que el sistema de verificación está bien?
Pues es una forma de verlo curiosa, dado que evidentemente hay un problema de seguridad y el sistema de verificación evidentemente te lo puedes saltar.
como dice #9
Voto errónea
#9 "y hacer una trampa" = Fallo de seguridad
El artículo es bastante tonto, la verdad.
Nunca he instalado whatsapp ni lo haré
#19 ok
#18 #19 perdón, se me fue el dedo.
El fallo, tremendo y muy obvio por cierto, es que algún iluminado pensó que era buena idea permitir activar una cuenta por voz llamando a OTRO número distinto del que se quiere dar de alta.
Es explotable por un párvulo...
#38 No, no puedes llamar a OTRO número al que quieres dar de alta. Tiene que ser el mismo, y el fallo consiste en que tengas el teléfono en tus manos para recibir esa llamada.
No me parece que sea tremendo un fallo en el que tienes que conseguir realizar un robo físico.
#40 ok, pensaba que si se podía llamar a otro número. No lo he probado pero por la captura de pantalla que sale... parece como si si se pudiera. Alguien puede confirmarlo??
Bueno lo sabia de hace tiempo. Hay otro metodo tambien y no he espiado a nadie ojo
1. Tengo un movil chulo
2. Se me rompe
3. Tengo dos moviles uno muy antiguo que no va el wasap y otro antiguo pero que va bien, aunque de otra conpañia y me da pereza liberalizarlo
4. Como no tengo 1. ahora utilizo los dos moviles uno para llamar y otro para wasapear
5. al de wasapear no le pongo tarjeta voy chupando wifis
6. ne bajo el wasap y la llamada de verificacion es al movil q uso para llamar
7. pongo el codigo y ya esta
Wasapeo en casa y en zonas wifis
Sin sim y sin estar pendiente todo el dia del wasap
#16 Usease, como lo que dice el artículo...
#16 eso lo hacía mi madre para tener whatsapp en la tablet, con el número de móvil de toda la vida en el que no tenía tarifa de datos ni podía ponerla (era un fijo-movil)
Ay, Dios mío, que bien estábamos cuando sólo había la primera y el uhachefe.
pues resulta muy práctico en ciertos casos. Yo tengo mi vieja linea de whatsapp y voy cambiando de tarjeta a la que más barato me da soporte de datos.
no guarda ni la agenda ni los whatsapps solo puede estar a un dispositivo activo. Y tiene que ser alguien cercano.
No lo entiendo. Si yo tengo acceso físico al terminal, lo más fácil es https://web.whatsapp.com/.
Escaneo con el teléfono de la víctima el código QR mantengo sesión iniciada y listo. Para darse cuenta la victima tiene que entrar en su menú de whatsapp y casi nadie pasa por ahí.
Lo he hecho y funciona. No hay más.
¿Qué ventajas tiene esto?
#25 En iPhone no hay WhtasApp Web, y si el terminal está bloqueado no puedes hacer eso. Esto se puede hacer incluso con el terminal bloqueado con passcode
#25 A mí también me ha costado entenderlo... Resulta que si robas el teléfono bloqueado no puedes escanear el código QR, y en cambio esto sí lo puedes hacer, esa es la noticia.
#34 Sí, eso parece que es lo nuevo. Teniendo acceso físico al términal se ha abierto otra posibilidad más.
#25 Si el teléfono esta lejos, se apaga o apagan la conexion del movil ya no furrula el wasapweb
Esto lo vi en .onion hace días y pensaba que era troleada, pero no..
#3 A mi me llegó el otro día un código de confirmación de whatsapp sin tenerlo instalado
#57 lo más probable es que alguien se equivocara al escribir su número, al igual que más de una llamada errónea habrás recibido, ¿no?
Se puede acceder a TODAS las conversaciones de whatsapp de CUALQUIERA con sólo tener su número de teléfono, recuperar los ficheros enviados e incluso ver las conversaciones en tiempo real. No hace falta tener su dispositivo ni su sim. No hace falta estar conectado a la misma red. No hace falta ni siquiera estar en el mismo país. Obviamente no voy a decir cómo. Sólo que se puede. En cuanto a seguridad y privacidad, whatsapp es el equivalente a radiopatio.
#54 Coincido, es demasiado fácil... de hecho, es tan obvio que yo sí voy a mostrar cómo para los interesados: https://goo.gl/3jFksZ
#61 Estupendo, ya lo has filtrado. Ahora todos tendremos problemas gracias a ti.