#0 Interesante información, gracias por subirla

Esto lo vi en .onion hace días y pensaba que era troleada, pero no..

Jodo con whatsapp, es un nido de jaleos

Es impresionante la de problemas de seguridad que han salido de WhatsApp desde que apareció... Madre mía.

¿Whatsapp no se desactiva en un terminal al activarlo en otro? En ese caso enseguida nos damos cuenta y lo solucionamos. Eso sí, entre una cosa y otra pueden haber descargado el backup de mensajes y leer todos excepto los más recientes, pero nos daremos cuenta de que algo ha pasado. Y no podrán leer los nuevos que escribamos o recibamos.

No sé si es buena idea difundir este tipo de información...
A fin de cuentas se está enseñando al grueso de los usuarios cómo cometer un delito; sí que es cierto que el problema está en Whatsapp, pero, el "fallo" no lo puede solucionar o controlar el usuario final, es cosa de Whatsapp.
No sé, si mañana alguien descubriera una manera de entrar en las cuentas corrientes de X banco ¿debería divulgarlo?

Es comprometer a millones de usuarios...

#7 El no da a conocer este tipo de fallos es simplemente una forma de perpetuarlo y que no se dignen a corregirlo.

#9 Es que una agujero de seguridad no tiene por qué ser un fallo del software, también puede ser el incorrecto diseño del procedimiento por el cual se verifica la pertenencia del teléfono, como este es el caso.

Estamos hablando de que aún teniendo el teléfono bloqueado una persona puede sustraer los mensajes de tu cuenta. Es como si yo te robo las llaves del coche y gracias a ello puedo entrar a tu casa.

#10 OK, yo considero de todas formas que no hay ningún fallo en la forma de verificación.
Aquí el problema es que te haces pasar por otra persona gracias a que le has "robado" su terminal.

Y siguiendo tu ejemplo, efectivamente, si me robas el coche y dentro del coche he dejado las llaves de casa y con esas llaves entras en mi casa, no se puede afirmar que la puerta de mi casa tenga ningún fallo de seguridad.

#11 Y tu puerta hará perfectamente su cometido, dejarse abrir sólo por aquella llave que tenga permiso y aún así estará dejando pasar a alguien que no está autorizado, algo que podríamos definir como fallo de diseño. Y esto es algo que se puede mejorar (¿quizás doble verificación de llave y sensor biométrico?).

De ahí que saliese en su día la verificación en dos pasos por poner un ejemplo.

De todos modos nos estamos yendo un poco del tema principal de tu comentario que era el no desvelar este tipo de fallos

Umm...no sólo wassap, hay multiples aplicaciones/servicios que requieren tu teléfono para confirmar, si alguien pillar tu teléfono y no está bloqueado te puede montar un buen jaleo

#12 Pero verificación en dos pasos también fallaría aquí porque tienen acceso al terminal físicamente
En cualquier caso, yo solo soy partidario de difundir este tipo de fallos cuando todo lo demás ha fallado (información al responsable, denunciado en su caso si procede, etc), pero que es una opinión y opción personal, vaya

#9 #10
Pensándolo creo que si es un fallo de seguridad, porque whatsupp debería de saber que se puede confirmar con el teléfono bloqueado. Es tan sencillo como añadirle un paso. Confirmar desde el dispositivo en el que esta instalado whatsupp si este esta activo. Aun así saldrían trucos seguramente.
Si tienes Whatsupp en teléfono A, bloqueado.
Desde teléfono B lo activas con numero A.
A recibe la llamada, coges.
B ha sido activado correctamente.

Creo que el tema seria que la propia aplicación identifique la llamada y te pida confirmar si A y B son diferentes.

Si tienes Whatsupp en telefono A, bloqueado.
Desde telefono B lo activas con numero A.
A recibe la llamada, coges.
A al recibir la llamada muestra una notificación en Whatsupp, ¿ha solicitado la confirmación con llamada?
Si: B ha sido activado correctamente.
No: B no se ha podido activar.


Si estas activando tu Whatsupp desde el numero de móvil legitimo te va a saltar ese mensaje.
Si lo haces desde un emulador te saltara pero en tu móvil, protegido contra bloqueo.
Solo se me ocurre que si estas sin datos o conexión wifi pero si recibes llamadas no podrías activarlo por ese método, pero es que tampoco podrías usar whatsupp.

En principio parece sencilla la solución.

A ver, que pare hacer esto hay que tener acceso al terminal del que se quiere quitar el whatsapp.

En resumen: hay que recibir una llamada en el terminal de la víctima, y la tiene que responder el atacante. Vamos, un lio. Si tienes tal acceso al teléfono, casi puedes espiarle los mensajes directamente.

No es demasiado práctico (la víctima se entere en seguida). No es útil ni para novias/novios celosas, ya que es más cómodo cotillear directamente a la vieja usanza.

Ay, Dios mío, que bien estábamos cuando sólo había la primera y el uhachefe.

Es exáctamente igual de fácil con Telegram, antes de que lo diga nadie.

Lo único que puede hacer eso es que el atacante envíe o reciba mensajes durante esos 30 minutos (si te das cuenta, claro). No ver tus conversaciones antiguas.

#6 30 minutos entre swap y swap. Lo pone en la noticia, pero ya sabemos que leerla es de cobardes de la pradera.

#9 Para mi es un fallo en el diseño. La fortaleza de un mecanismo de seguridad es la de su punto más débil. En este caso, se ha diseñado un mecanismo basado en una llamada y las llamadas las puede coger cualquiera con acceso al dispositivo, esté bloqueado o no...

No lo entiendo. Si yo tengo acceso físico al terminal, lo más fácil es web.whatsapp.com/.

Escaneo con el teléfono de la víctima el código QR mantengo sesión iniciada y listo. Para darse cuenta la victima tiene que entrar en su menú de whatsapp y casi nadie pasa por ahí.

Lo he hecho y funciona. No hay más.

¿Qué ventajas tiene esto?

#13 En otras noticias del día: "si alguien tiene las llaves de tu casa, ¡puede entrar en tu casa!".

#25 En iPhone no hay WhtasApp Web, y si el terminal está bloqueado no puedes hacer eso. Esto se puede hacer incluso con el terminal bloqueado con passcode

#19 ok

#6 El backup no se puede descargar porque se guarda en local, en el teléfono. Para recuperar la cuenta parece que tienes que esperar 30min.


Esto no es un problema de whatsapp, es un problema del sistema, también se puede hacer con una cuenta de gmail, le das a recuperar cuenta, eliges la llamada telefónica, pones el código y a correr.

#9 ¿No te parece un fallo de seguridad? ¿te parece que el sistema de verificación está bien?
Pues es una forma de verlo curiosa, dado que evidentemente hay un problema de seguridad y el sistema de verificación evidentemente te lo puedes saltar.

#17 El problema esta cuando te roban el telefono. El ladron tendra acceso a tu cuenta de whatsapp para lo que quiera, aunque el telefono requiera una contraseña para ser desbloqueado.

Qué noticia más cachonda, para robar la cuenta de WhatsApp resulta que hay que robar el terminal

Y tampoco es que esté bien redactada, me ha costado bastante entender lo de "Esta llamada siempre se podrá atender siempre, ya que a día de hoy, ni iPhone ni Android tienen una opción de "desbloquear terminal para responder llamadas"."

Yo hubiera escrito "En los teléfonos iPhone o Android, se pueden recibir llamadas aunque el terminal esté bloqueado".

Tras entenderlo entiendo un poco el sentido del supuesto fallo de seguridad que ve el autor, cuando robas un terminal, está bloqueado, por lo que no puedes enviar llamadas ni enviar mensajes. Pero si alguien llama, puedes recibir la llamada.

Puestos a robar el terminal podríamos robarlo ya desbloqueado

como dice #9
Voto errónea

#25 A mí también me ha costado entenderlo... Resulta que si robas el teléfono bloqueado no puedes escanear el código QR, y en cambio esto sí lo puedes hacer, esa es la noticia.

#27 Amigo... así sí.

De todas formas el whatsappweb es un peligro. Con un poco de ingeniría social, y con el firebug o un proxy se puede modificar el código de la propia página de web.whatsapp.com para hacer phising de que es una promo o algo... Luego a mano se cambia la url en el navegador por mipromo.midominio.es, o se puede hacer un popup con la url deshabilitada y un iframe y se puede exponer la página en una tienda, un certamen, lo que sea.

Yo lo hecho (en casa) por probar y funciona. Lo único que el código QR caduca. Pero quizás se pueda hacer click de forma automática con un setInterval y un click sobre el id del código QR.

#34 Sí, eso parece que es lo nuevo. Teniendo acceso físico al términal se ha abierto otra posibilidad más.

#9 "y hacer una trampa" = Fallo de seguridad

El fallo, tremendo y muy obvio por cierto, es que algún iluminado pensó que era buena idea permitir activar una cuenta por voz llamando a OTRO número distinto del que se quiere dar de alta.
Es explotable por un párvulo...

#29 #23 Pero estamos de acuerdo en que no pueden seguir espiándote una vez que te das cuenta y lo reactivas, ¿verdad? Ni se quedan tu cuenta para siempre ni pueden espiarte una vez te des cuenta y reactives, y darse cuenta es trivial.

#38 No, no puedes llamar a OTRO número al que quieres dar de alta. Tiene que ser el mismo, y el fallo consiste en que tengas el teléfono en tus manos para recibir esa llamada.

No me parece que sea tremendo un fallo en el que tienes que conseguir realizar un robo físico.

#39 ¿Y cómo afecta esto a la activación web? ¿Se puede activar la versión web con la cuenta robada y conservar el acceso web cuando reactiven en el teléfono del dueño legítimo? No creo, pero...

#40 ok, pensaba que si se podía llamar a otro número. No lo he probado pero por la captura de pantalla que sale... parece como si si se pudiera. Alguien puede confirmarlo??

Se me ocurre otra manera de robar cuentas de Whatsapp, SMS, teléfono y todo lo demás:

-Llamas a la operadora.
-Dices que has perdido la tarjeta SIM, que te envíen un duplicado a casa.
-Estás en esa casa a la hora que llegue el reparto y convences para que te lo entreguen a ti.

#25 Si el teléfono esta lejos, se apaga o apagan la conexion del movil ya no furrula el wasapweb

#29 Pues yo creo que tengo el backup en la nube (iCloud de Iphone)..

#31 Tiene que saber tu número de teléfono.

no guarda ni la agenda ni los whatsapps solo puede estar a un dispositivo activo. Y tiene que ser alguien cercano.

#14 La verificación en dos pasos utiliza SMSs. Será un fallo de seguridad si están activas las notificaciones de SMS con previsualización antes del desbloqueo. Si no puedes leer el contenido del SMS sin desbloquear el terminal, habrás parado al ataque.
Como dice el artículo: "Es un método similar al de robar la cuenta de WhatsApp utilizando Siri y la previsualización de códigos SMS" www.elladodelmal.com/2013/05/un-pequeno-truco-de-bar-de-iphone-con.htm

pues resulta muy práctico en ciertos casos. Yo tengo mi vieja linea de whatsapp y voy cambiando de tarjeta a la que más barato me da soporte de datos.

#16 Usease, como lo que dice el artículo...

#39 No, una vez que te das cuenta recuperas el whatsapp y el otro no puede seguir espiándote.

#45 Pero ese backup depende de tu cuenta de iCloud y esa cuenta no te la han robado.

#31 Haces un duplicado de tu tarjeta y vuelves a tener tu número de teléfono para "recuperar" tu whatsapp

El artículo es bastante tonto, la verdad.

Se puede acceder a TODAS las conversaciones de whatsapp de CUALQUIERA con sólo tener su número de teléfono, recuperar los ficheros enviados e incluso ver las conversaciones en tiempo real. No hace falta tener su dispositivo ni su sim. No hace falta estar conectado a la misma red. No hace falta ni siquiera estar en el mismo país. Obviamente no voy a decir cómo. Sólo que se puede. En cuanto a seguridad y privacidad, whatsapp es el equivalente a radiopatio.

#1 Si tu lo dices, yo a cada uno que conozco que tiene movil con whatsapp no se separa de el ni muerto, de hecho se pasan todo el día con los mensajitos de mierda, como para que se lo arrebates a la fuerza o le digas "porfa dejamelo que voy a clonar tu whatsapp".

Android viene con un cliente de mensajeria bien guapo y que cualquiera con una cuenta de google puede usar. Se llama google hangouts

#3 A mi me llegó el otro día un código de confirmación de whatsapp sin tenerlo instalado

#31 Si te roban el teléfono pueden hacerte de todo...

#14 La verificación en dos pasos se basa en algo que sabes y en algo que tienes. Así que aunque tengas el móvil no podrás hacer nada si no sabes la contraseña.

#17 La cosa es quesi el atacado tiene el móvil bloqueado por pin o por patrón no puedes ver los mensajes. Sin embargo para aceptar la llamada de wassap no hace falta desbloquear el móvil.
Eso sí, se dará cuenta en seguida, pero según el artículo no lo puede solucionar hasta pasada media hora. El atacante tiene 30 minutos para poder liarla

#54 Coincido, es demasiado fácil... de hecho, es tan obvio que yo sí voy a mostrar cómo para los interesados: goo.gl/3jFksZ

#18 #19 perdón, se me fue el dedo.

#32 es que no tienes que robar nada. solo tener acceso y responder la llamada, pero no es lo mismo. Por ejemplo piensa en el típico compañero de curro que tiene la (fea) costumbre de dejarse el móvil en su puesto (p.ej. cuando va a tomar café, al baño,etc) y además justo cuando se va, siempre le llaman y suena ese horroroso tono de llamada que tanto odias.

Puedes seguir este articulo para acceder temporalmente a la cuenta. Y no ha sido necesario robar nada. Sólo esperar a que se vaya al baño para hacer esa llamada de verificación y responder la llamada.

#61 Estupendo, ya lo has filtrado. Ahora todos tendremos problemas gracias a ti.

#22 Y ademas solo a los números de teléfono que tenga el atacante en su agenda. Vamos que me preocupa mas que me espie mi novia por encima del hombro

Vamos a ver, es absurdo y no es ningún fallo de seguridad. ACCESO FÍSICO ES ACCESO TOTAL.

#16 eso lo hacía mi madre para tener whatsapp en la tablet, con el número de móvil de toda la vida en el que no tenía tarifa de datos ni podía ponerla (era un fijo-movil)

#63 Bueno, entonces tampoco se puede robar la cuenta Whatsapp como dice el titular del artículo, porque el dueño puede volver a recuperar la cuenta (según dice el artículo, como mínimo media hora después).

Recuerdo unos chavales que un día se encontraron en la calle las llaves de un deportivo y como era una zona con pocos coches pudieron localizarlo fácilmente. Los tíos se fijaban cuando no iba a estar el dueño y se iban a dar una vuelta con el coche, pero lo volvían a dejar aparcado dónde estaba. Podríamos decir entonces que no robaban nada, porque siempre lo devolvían. Pero si les hubieran pillado me temo que les hubiera caído un puro por robo.

#56 Y también tiene una cómoda versión web, y llamadas... Personalmente me parece infinitamente mejor.

PERO es necesaria la cuenta de Google para usarlo, y la mayoría de la gente sólo se hace cuentas de Whatsapp porque no necesitas saber más que el número de teléfono para comunicar con ellas, no el email de la cuenta de Google.

#60 Si tienes el móvil, fisicamente, puedes acceder a los datos (excepto si está cifrado). No niego que esto no sea útil, pero bastante poco.

#5 No como <inserte aqui software> que nunca ha tenido problemas de seguridad conocidos.

#55 El problema es que te roben el movil y que antes de dar de baja el numero si te lo robaron estando encendido el ladron pueda hacer la cuenta antes de que se apague

#70 claro, puedes desmontarlo y desoldar la memoria interna y leerla después. O puedes flashear una ROM nueva con la que tengas acceso total. O también puedes intentar desbloquear el móvil por fuerza bruta; si miras la pantalla de refilón puedes ver los rastros recientes y tal vez reduzcas el tiempo necesario.
Todo ello mucho más sencillo que aceptar una llamada de un par de minutos, sin lugar a dudas...

#57 lo más probable es que alguien se equivocara al escribir su número, al igual que más de una llamada errónea habrás recibido, ¿no?

#78 No, si por supuesto es más fácil, pero, quien quiere leer tus mensajes?

Si te han robado el movil, pasan bastante de eso. Lo que quieren es vender el terminal.

Si es una investigación policial, hacen un análisis forense como dios manda.

Las personas más probables a las que le puedan interesar espiar los whatsapp son los padres que vigilan a sus hijos o las parejas celosas

Y de poco les sirve, ya que es super cantoso. En cuanto tengan el whatsapp en el nuevo terminal, se dejan de recibir en el antiguo... O sea, q solo sirve para una vez.

En resumen, esto no es un "hackeo" ni una vulnerabilidad, ni tampoco exclusivo de WhatsApp....

#72 Después de mi explicación una de dos, o se es muy despitado, o te lo roban de un tirón, porque como dije la gente suele llevarlo pegado con glue3 en las manos, al menos es lo que yo veo cada día por las calles además, si te lo roban cuando lo das de baja se presupone que invalidan la SIM y te dan otra que me imagino que aunque tenga el mismo número, algo tendrá diferente para que nadie pueda usar el que te han robado.

#74 Para hacer eso el atacante debería conocerte a ti y a tu jefe... cambia las amistades. xD

#66 No tiene por qué, para algo existe el cifrado de datos. De todas formas si esto es un fallo de seguridad es un fallo de seguridad del móvil que te permite responder llamadas sin desbloquear el móvil primero. Es como si tienes un servicio de correo que no necesita contraseña y dices que todos los servicios que te permiten reiniciar tu contraseña utilizando tu dirección de correo son inseguros por esto.

#10 Yo creo que si tienes el teléfono bloqueado con PIN no te pueden hacer nada.
Solución: Poned el pin siempre!!! Conozco mucha gente que tiene el movil sin pin, con lo que eso supone en caso de robo