677 meneos
9605 clics
Whatsapp almacena tus imágenes en servidores públicos y sin cifrado [ENG]
Se puede comprobar como, cuando se elimina una imagen, realmente no se borra del servidor, pudiéndose acceder a ellas de forma pública si se conoce la URL
|
comentarios cerrados
A ver ¿todavía no hemos aprendido que la privacidad en Whatsapp no existe ni por error? Lo que hay que hacer es no mandar fotos privadas o fotos que no quieres que un día se vean por ahí, y punto. Sentido común y ya está.
A ver ¿todavía no hemos aprendido que la privacidad en Whatsapp no existe ni por error? Lo que hay que hacer es no mandar fotos privadas o fotos que no quieres que un día se vean por ahí, y punto. Sentido común y ya está.
Si tienes suficiente capacidad, que lo dudo, puedes recopilarlas pero, de que te sirve ? Igual das con una foto enviada por un tio ruso a sus amigos, pero eso lo puedes hacer yendote al FB y mirando fotos al azar. Igual hasta ves a una tia desconocida en bolas, y? hay millones de fotos de tias en bolas mejores que esa foto, no tiene ningún interés esa foto si no sabes de quien es, y eso ya no está al alcance de un usuario avanzado. Más bien, está al alcance de la NSA o similares, y esos no necesitan buscar así, solo tienen que pedirselo "amablemente" a whatsapp.
Si no recuerdo mal, badoo y facebook almacenan las imágenes de la misma manera.
Espero que el algoritmo para adjudicar nombre a las fotos sea lo suficientemente complicado para que no aciertes con un foto valida fácilmente
Cuando borras la foto desde el whatsapp, borras el registro y según qué elijas, también borra la foto de la galería, pero la url del sevidor remoto, seguirá estando disponible según la configuración que tenga el servidor. Seguramente haga un commit para borrar fotos con cierta fecha de antigüedad.
Obviamente no es seguro, pero dar con esas url pues no es tarea fácil a no ser, como he dicho, que te hagas con la base de datos del teléfono. Yo estuve jugando aleatoriamente y logré dar con una. Sin embargo, para los grupos sí es necesario que la foto siga residiendo en el servidor. Aunque insisto, obviamente a día de hoy hay mejores alternativas para implementar. A mí me parece una chapucilla para sacar una aplicación cuanto antes y ahora ya les queda grande.
Para todo lo demás... Telegram.
¿Acaso no sabe que hay operaciones que no se hacen en tiempo real?
Que me creo que lo guarde así, pero decir que es así porque ha probado con algo hecho en el momento, pues no es muy objetivo.
Segundo: debería haber intentado abrir la imagen desde un explorador distinto u otro ordeñador. Puede que el sistema considere al usuario ya identificado y le permita acceder al recurso.
Tercero: debería haber borrado la caché del explorador para verificar que no es una copia local
Cuarto: debería haber esperado un tiempo prudente e intentar cargar de nuevo la imagen. Puede que las operaciones de borrado no sean instantáneas.
No sé, no me parece una prueba profesional.
Primero: Sí, y? Igualmente accesible.
Segundo: Comprobado. Sí, se puede abrir sin ningún problema y sin ningún tipo de autentificación.
Tercera: En el momento que lo abres desde otro ordenador, una prueba la otra. Además, no olvidéis que la opción web de whatsapp es simplemente una sincronización con el móvil. Si desconectas el movil de datos, adiós a whastapp web
Cuarto: como he dicho, en mi última prueba la imagen estuvo en línea por más de un mes.
Y no, no es una prueba profesional. Os animo a todos que echéis un vistazo a la base de datos Sql que se almacena en la carpeta de whastapp (creo que hay que ser root).
Por cierto... no tengo nada que ver con la web y no he escrito el artículo ni nada parecido.
Estoy ganando la batalla y poco a poco cada día somos más...
Prueba con WhatsApp Web y tendrás acceso directamente a las URLs.
www.whatsapp.com/faq/en/general/21864047
www.wired.com/2014/11/whatsapp-encrypted-messaging/
Aunque aquí hay un buen debate al respecto:
security.stackexchange.com/questions/79070/how-do-i-verify-that-whatsa
aun que la gente solo envié memes sigue siendo malo por que esta engañando al usuario
Salu2
Una vez que usan Whatsapp no pidas sentido común.
Bueno, eso es perjudicial para todo aquél/aquella ceporro/a que envíe fotos en bolas.
Para los demás, se resumirá en fotos coñazo de los hijos, sobrinos y críos varios. Fotos de hamijos, gatos, perros...
Pero sí, da por culo pensar que haya tan poca seguridad con la información que envías y recibes, pero igualmente con meterte en internet corres el mismo riesgo. En especial cogiendo wi-fi de redes que no conoces.
Lo realmente malo seria la url se pudiera descomponer en contraseña+contador, porque entonces si que seria muy facil obtener todas las imagenes de alguien.
No digo que este bien hecho, pero hay mil cosas peores por ahí...
mnmstatic.net/cache/03/83/230183-1310899064-25.jpg
¿Ves la imagen? Pues a eso me refiero.
habiendo by the face trillones de fotos de tias ultrabuenas que no conoceis? para que quereis ver fotos de tias normales que tampoco conoceis?
puedo entender el morbo de ver en pelotas a tu vecina o a una actriz, independientemente de su fisico, pero a la vecina de un señor de cuenca no le veo la gracia... al menos no veo que merezca la pena tirarte 5 o 6 horas filtrando fotos para encontrrar 3 o 4 fotos meneables...
Celebgate.
El p0rn rollo amateur es lo que más vende, tío. La gente ya se ha meneado bastante con mujeres imposibles.
P0rn de tías normales it's so hot right now!
El p0rn es más seguro.
Pero vamos, me da igual que esten sin cifrar, el hacker que las quiera que lo diga y se las mando directamente
ademas, cada uno tiene sus vicios. lo que me gasto en zorrear me lo ahorro en fumar
Eso depende. Estamos hablando de los servidores de WhatsApp que soportan un volumen de transacciones tremendo, no de tu PC.
Sería una tortura en tiempo de máquina que cualquiera pudiera hacer todo "al momento".
Ah, y en informática "tiempo real" no es un término literal. Se refiere a que hay un tiempo máximo de servicio acotado, pequeño. Pero no es instantáneo.
La url tiene (creo) 73 caracteres, separados en dos bloques; suponiendo 50 caracteres posibles para cada posición (en realidad serán muchos más, pero solo cuento 20 letras en mayúsculas/minúsculas y 10 dígitos), tenemos la nada despreciable cifra de 10^124 posibilidades... muchísimas más que el número estimado de átomos que componen el universo, vamos, complicado acertar!
Además, doy por hecho que no son caracteres aleatorios. Seguramente el primer bloque sea un identificador único de la imágen pseudoaleatorio, y la segunda parte identifique quien accede, dispositivo... cualquier cosa, cifrada con un sha256 o similar
Lo chungo habria sido que la trasferencia se hubiese hecho sin https, permitiendo a cualquiera sniffear la foto.
EDIT: luego de 24 horas los enlaces de las fotos borradas no funcionan (meda object not found).
Pero las fotos no borradas siguen disponible públicamente, sin ningun tipo de encripción.
Seria mas fácil instalar un keylog q esto
Que las fotos sean accesibles después de eliminarlas es completamente normal, puesto que cuando eliminas un mensaje o una imagen sólo es a nivel local, el resto de usuarios continúan teniendo acceso.
En mi trabajo, los tiempos de ciclo son del entorno de los 100ms y windows va "clavao", no pierde el paso sin ser un SO de tiempo real ( si no le aprietas, claro ). Y lo mio tb es informatica.
El tiempo como concepto matemático siempre podrá dividirse. El tiempo real de las personas, es lo que dice #92.
En una linea de envasado de latas de atún a 100ms/lata, yo no soy capaz de sacar una foto a la lata, decidir si está ahuevada y si lo está, dar orden de que se expulse, sin perder el paso, cada 100ms, una lata. Y uso Windows, que si usara otros sistemas más deterministas, podría bajar mucho de ese nivel.
¿O ustedes mandarían fotos porno o dinero por correo convencional? Los Wire Transfer no solo fueron creados por la rapidez, fueron creados para "asegurar" el envío.