Se puede comprobar como, cuando se elimina una imagen, realmente no se borra del servidor, pudiéndose acceder a ellas de forma pública si se conoce la URL
#2 ¡¡Oh dios, todo el mundo podrá ver los memes que mando!!
A ver ¿todavía no hemos aprendido que la privacidad en Whatsapp no existe ni por error? Lo que hay que hacer es no mandar fotos privadas o fotos que no quieres que un día se vean por ahí, y punto. Sentido común y ya está.
¡¡Oh dios, todo el mundo podrá ver los memes que mando!!
A ver ¿todavía no hemos aprendido que la privacidad en Whatsapp no existe ni por error? Lo que hay que hacer es no mandar fotos privadas o fotos que no quieres que un día se vean por ahí, y punto. Sentido común y ya está.
#3 Seguramente la borren cuando no quede nadie que esté guardando una charla con esa foto. Por lo tanto que tú la borres no significa que sea una imagen que puedan borrar aún.
Públicos y sin cifrado... Emmm, vale, sí, la imagen no está cifrada, es verdad, la mejor forma de verlo, es si usais el web.whatsapp.com sobrw una imagen botón derecho y abrir imagen en una ventana nueva, como veréis el nombre de la imagen está modificado y es realmente difícil dar con imágenes al azar..
#7 eso no responde a la pregunta, si un usuario avanzado puede acceder con cierta facilidad a las imagenes es cuestión de horas que estas queden libres en la red y accesibles a cualquiera ¿o no?
#9 Si pero no. Lo realmente complicado sería clasificar esas imágenes y averiguar a quien pertenecen. Hay centenares de millones de fotos almacenadas en esos servidores.
Si tienes suficiente capacidad, que lo dudo, puedes recopilarlas pero, de que te sirve ? Igual das con una foto enviada por un tio ruso a sus amigos, pero eso lo puedes hacer yendote al FB y mirando fotos al azar. Igual hasta ves a una tia desconocida en bolas, y? hay millones de fotos de tias en bolas mejores que esa foto, no tiene ningún interés esa foto si no sabes de quien es, y eso ya no está al alcance de un usuario avanzado. Más bien, está al alcance de la NSA o similares, y esos no necesitan buscar así, solo tienen que pedirselo "amablemente" a whatsapp.
Si no recuerdo mal, badoo y facebook almacenan las imágenes de la misma manera.
#10 Un nuevo divertimento. Coger fotos de Whatsup al azar a ver que te encuentras, es como ir a pescar. te puedes tirar horas buscando algo interesante pero al final pescas algo.
Espero que el algoritmo para adjudicar nombre a las fotos sea lo suficientemente complicado para que no aciertes con un foto valida fácilmente
#9 por poder, un experto a lo bestia, podría entrar ej los server de whatsapp e incluso descifrar las fotos si así lo estuvieran. La seguridad es un estado mental.
#14 me refería a que no soy un "usuario avanzado" sino un profesional de la materia. Vamos, que tengo criterio para saber tras algunas comprobaciones si algo es más o menos seguro... Pero tú, puedes entender lo que te salga de las pelotas...
Articulo en inglés con vídeo en español, donde el que lo escribe se disculpa con "sorry it is in Spanish but pretty straightforward if you have html knowledge" ¡mola!
#11 Ya, como salir a la calle a ver que hay, o las videoconferencias con gente al azar o ponerte a cotillear en los perfiles públicos de facebook, badoo, meetic y todos los demas.
Nada nuevo. Me di cuenta de esto hace ya casi cinco años cuando empecé a trastear con la base de datos que whatsapp guarda en el movil. Te genera una url aleatoria que se guarda en la base de datos. Copias y pegas y ahí está la foto durante más o menos un mes según mil últimas pruebas.
Cuando borras la foto desde el whatsapp, borras el registro y según qué elijas, también borra la foto de la galería, pero la url del sevidor remoto, seguirá estando disponible según la configuración que tenga el servidor. Seguramente haga un commit para borrar fotos con cierta fecha de antigüedad.
Obviamente no es seguro, pero dar con esas url pues no es tarea fácil a no ser, como he dicho, que te hagas con la base de datos del teléfono. Yo estuve jugando aleatoriamente y logré dar con una. Sin embargo, para los grupos sí es necesario que la foto siga residiendo en el servidor. Aunque insisto, obviamente a día de hoy hay mejores alternativas para implementar. A mí me parece una chapucilla para sacar una aplicación cuanto antes y ahora ya les queda grande.
El tío borra una imagen del movil y al momento intenta acceder a ella... y piensa que está mal porque... ¿que?
¿Acaso no sabe que hay operaciones que no se hacen en tiempo real?
Que me creo que lo guarde así, pero decir que es así porque ha probado con algo hecho en el momento, pues no es muy objetivo.
#20 Como que las operaciones no se hacen en tiempo real? cuando tu borras se tiene que borrar al momento! o ves normal que hagan un purge cada 1 mes para borrar sus fotos del servidor? porque backups seguro que tienen.
Primero: la url está en https Segundo: debería haber intentado abrir la imagen desde un explorador distinto u otro ordeñador. Puede que el sistema considere al usuario ya identificado y le permita acceder al recurso. Tercero: debería haber borrado la caché del explorador para verificar que no es una copia local Cuarto: debería haber esperado un tiempo prudente e intentar cargar de nuevo la imagen. Puede que las operaciones de borrado no sean instantáneas.
Primero: Sí, y? Igualmente accesible.
Segundo: Comprobado. Sí, se puede abrir sin ningún problema y sin ningún tipo de autentificación.
Tercera: En el momento que lo abres desde otro ordenador, una prueba la otra. Además, no olvidéis que la opción web de whatsapp es simplemente una sincronización con el móvil. Si desconectas el movil de datos, adiós a whastapp web
Cuarto: como he dicho, en mi última prueba la imagen estuvo en línea por más de un mes.
Y no, no es una prueba profesional. Os animo a todos que echéis un vistazo a la base de datos Sql que se almacena en la carpeta de whastapp (creo que hay que ser root).
Por cierto... no tengo nada que ver con la web y no he escrito el artículo ni nada parecido.
No olvidéis que esta noticia de la poca seguridad de whatsap es una gota más del chorreo incesante de vulnerabilidades que supone esta aplicación. Solo con que os conectéis a una WiFi (incluso con clave), alguien no muy avezado puede ver todos vuestros mensajes... En internet lo único que permanece privado es lo que no se teclea.
#26 reite, pero conozco más de uno que me han pasado los datos de su cuenta de banco por Foto, por miedo a mandarl esa información en modo texto o por email....
hombre todo muy mal por que la gente da por hecho que las cosas son privadas. te puedes encontrar de todo hay gente que usa la app para enviar facturas y cosas así
aun que la gente solo envié memes sigue siendo malo por que esta engañando al usuario
Si, efectivamente, las imagenes se pueden ver (si sabes la url de la imagen, claro) de forma publica, sin ningun tipo de autenticacion. Lo acabo de comprobar.
#37 efectivamente. No recordaba que tras el escándalo se pusieron las pilas, pero cifrar no es la panacea. Habría que ver exactamente como implementan su criptografía. Supongo que lo tratarán en el Link que adjuntas. Lo leeré luego. Gracias por la puntualización.
Continuando con mi mensaje #39... vamos, que en cualquier caso, facebook hace lo mismo. Pilla una url de una foto aunque sea privada, y la podras ver sin necesidad de autenticarte ni tener cuenta ni nada. No es que sea un alivio ni nada de eso, ambas coss estan mal, pero esto se aplica a muchas otras aplicaciones y no nos damos cuenta.
Bueno, eso es perjudicial para todo aquél/aquella ceporro/a que envíe fotos en bolas.
Para los demás, se resumirá en fotos coñazo de los hijos, sobrinos y críos varios. Fotos de hamijos, gatos, perros...
Pero sí, da por culo pensar que haya tan poca seguridad con la información que envías y recibes, pero igualmente con meterte en internet corres el mismo riesgo. En especial cogiendo wi-fi de redes que no conoces.
El asunto es que no borres las imagenes. Una vez usas https, no hay diferencia entre enviar una contraseña de ocho o diez letras para pedir una url de diez cifras o pedir directamente una url de veinte letras. De hecho esto ultimo es mas seguro, porque aunque te pillen una no te van a poder descargar las demas.
Lo realmente malo seria la url se pudiera descomponer en contraseña+contador, porque entonces si que seria muy facil obtener todas las imagenes de alguien.
Saber la url de la imagen casi equivale a saber el login y el password, viendo esa url es muy difícil que aleatoriamente aciertes con otra... A ver quien se anima y demuestra lo contrario.
No digo que este bien hecho, pero hay mil cosas peores por ahí...
#51 bueno, haber diferencia, hayla. Si tuvieses que autenticarte para acceder a ese recurso protegido podrian revocarte la solicitud tras x intentos, por ejemplo. En realidad seguro que de la forma actual tambien lo tienen y pueden coprobar si estas realizando "ataques" de fuerza bruta y posiblemente te "baneen". Si no lo tienen, entonces es que son muy lerdos. Pero vaya, en cualquier caso ¿qué problema hay en que, aparte de ser una url como esa, esté bajo el paraguas de un proceso de autenticacion? El problema con estas cosas es que te pillen de alguna manera las urls o que se pudiera acceder de forma aleatoria y de forma sencilla con un metodo de fuerza bruta. Peor todavia si se acierta a discernir alguna pauta algoritmica en esas urls. A mi lo que me preocupa es que, al fin y al cabo, las imagenes son publicas y, repito, que otras muchas webs lo hacen asi.
#40#48 ya os habeis acabado el resto del porno de internet, o que?
habiendo by the face trillones de fotos de tias ultrabuenas que no conoceis? para que quereis ver fotos de tias normales que tampoco conoceis?
puedo entender el morbo de ver en pelotas a tu vecina o a una actriz, independientemente de su fisico, pero a la vecina de un señor de cuenca no le veo la gracia... al menos no veo que merezca la pena tirarte 5 o 6 horas filtrando fotos para encontrrar 3 o 4 fotos meneables...
#57 y no habeis probado a ir a un bar y conocer mujeres normales en 3D? no se, a mi el porno me gusta para imaginar lo que no hago normalmente, para ver como un panoli se zumba a una tipa que podria zumbarme yo, pues me la zumbo yo y que se joda el panoli
#12 Por poder, un bestia nivel experto podría entrar por la puerta de la sede de whatsapp, liarse a hostias con todos, agarrar los servidores por los cables y arrastrarlos hasta su casa.
#61 pues fijo que uno o dos de los servidores de whatsapp estan ocupados con fotos de mi miembro .
Pero vamos, me da igual que esten sin cifrar, el hacker que las quiera que lo diga y se las mando directamente
#64 yo es que los cubatas me los voy a tomar igual, no me gasto nada "extra" ni en una cosa ni en la otra
ademas, cada uno tiene sus vicios. lo que me gasto en zorrear me lo ahorro en fumar
#50 Nah, de momento nada. Parece ser que con tanto caracter y que deben espaciar bastante las imagenes, está complicao por fuerza bruta. Eventualmente algo debería salir, pero no se yo lo que llevará...
#21cuando tu borras se tiene que borrar al momento
Eso depende. Estamos hablando de los servidores de WhatsApp que soportan un volumen de transacciones tremendo, no de tu PC.
Sería una tortura en tiempo de máquina que cualquiera pudiera hacer todo "al momento".
Ah, y en informática "tiempo real" no es un término literal. Se refiere a que hay un tiempo máximo de servicio acotado, pequeño. Pero no es instantáneo.
#67 Por lo poco que se de seguridad en urls y cifrado... prácticamente labor imposible por fuerza bruta.
La url tiene (creo) 73 caracteres, separados en dos bloques; suponiendo 50 caracteres posibles para cada posición (en realidad serán muchos más, pero solo cuento 20 letras en mayúsculas/minúsculas y 10 dígitos), tenemos la nada despreciable cifra de 10^124 posibilidades... muchísimas más que el número estimado de átomos que componen el universo, vamos, complicado acertar!
Además, doy por hecho que no son caracteres aleatorios. Seguramente el primer bloque sea un identificador único de la imágen pseudoaleatorio, y la segunda parte identifique quien accede, dispositivo... cualquier cosa, cifrada con un sha256 o similar
#53 Pero es que ya esta bajo el paraguas de un proceso de autenticacion, y el mejor de todos: uno de clave unica. La unica forma de que otro usuario tenga la foto es que compartas la clave, en este caso el URL completo, al que solo tienen acceso inicialmente los usuarios autorizados. Mucho peor seria que le dieras a otro tu contraseña de whatsapp tan solo para que viera esa foto concreta.
Lo chungo habria sido que la trasferencia se hubiese hecho sin https, permitiendo a cualquiera sniffear la foto.
El creador del video de youtube pone en los comentarios lo siguiente:
EDIT: luego de 24 horas los enlaces de las fotos borradas no funcionan (meda object not found).
Pero las fotos no borradas siguen disponible públicamente, sin ningun tipo de encripción.
#42 Claro, porque el resto de programas de mensajería son totalmente seguros y nadie te puede ver nada... WhatsApp es una aplicación tan válida como cualquier otra, usándola con cerebro.
#19 Facebook ya lo hacia antes que WA, Tuenti tambien incluso Twitter. Solo que ahora esta de moda meterse con la no privacidad de WA, que es cierto pero en este caso ha sido un ojos que no ven, corazon que no siente.
#71 lo bueno es que cuando no encuentra el fichero da un fallo distinto a cuando la petición no es válida, con lo cual también es posible empezar a buscar un patrón. Tengo que probar más tarde.
#83 pues, a ver. Las fotos que envias se almacenan en un servidor y se les asigna un identificador o identificadores unicos y largos (que pueden parecer aleatorios). Entonces, por un lado, si sabes esa url, ese identificador, el fichero puede ser accedido públicamente, simplemente poniendo la URL. Pero por otro lado, si no sabes ese identificador, es muy difícil que alguien pueda acceder a tu imagen en concreto. No es imposible, pero si muy dificil. Se puede ver, mas o menos, como que la propia url es una clave de acceso a la imagen. El recurso esta mapeado de manera publica en el servidor pero de tal manera que no se pueda saber como llegar hasta él (excepto lo que decia antes, si sabes como hacerlo). Espero haber aclarado algo
Digo yo que ese enlace sólo será válido/accesible mientras la sesión sea correcta, si alguien en otro ordenador/móvil sin autenticarse prueba el enlace, no funcionará... Si alguien puede comprobarlo...
Que las fotos sean accesibles después de eliminarlas es completamente normal, puesto que cuando eliminas un mensaje o una imagen sólo es a nivel local, el resto de usuarios continúan teniendo acceso.
#18 Yo también lo descubri hace años, buscando una forma de enviar el enlace en lugar de la foto con el consiguiente ahorro de datos... años después en una actualización se enviaba el enlace de foto y vídeo como debería haber sido desde el principio...e hice la.prueba de intenotar localizar fotos Interesantes pero nada...
#81 Pues eso que comentas puede considerarse en cierta parte un fallo de seguridad. Lo que se llama seguridad por ocultación... no des más información de la estrictamente necesaria, y según lo que comentas da diferentes resultados en función de ciertas cosas, eso te puede dirigir un poco las búsqueda. suerte!
#69 Sin ánimo de ser tiquismiquis, pero tiempo real puede ser tiempo real , depende del entorno en el que te muevas. En el de los servidores y bases de datos no, pero en otros si.
En mi trabajo, los tiempos de ciclo son del entorno de los 100ms y windows va "clavao", no pierde el paso sin ser un SO de tiempo real ( si no le aprietas, claro ). Y lo mio tb es informatica.
#84 Gracias por contestar. El problema es que ahora se me ha estropeado el teléfono y resulta que no puedo encenderlo, he puesto mi tarjeta en otro móvil y resulta que he perdido casi todos mis contactos, mis grupos de whatsApp, mis descargas, prácticamente todo. Si llevo a arreglar este chisme dudo que lo hagan arrancar y si lo consiguen ¿podrían ver todo lo que tengo en el móvil? necesito recuperar mis contactos
#91 Y un átomo de uranio tarda millones de veces menos en desintegrarse en torio que lo que tarda un ciclo de CPU.
El tiempo como concepto matemático siempre podrá dividirse. El tiempo real de las personas, es lo que dice #92.
En una linea de envasado de latas de atún a 100ms/lata, yo no soy capaz de sacar una foto a la lata, decidir si está ahuevada y si lo está, dar orden de que se expulse, sin perder el paso, cada 100ms, una lata. Y uso Windows, que si usara otros sistemas más deterministas, podría bajar mucho de ese nivel.
Viviendo en la época en la que vivimos, donde hay tantos "leaks", ya se ha hecho sentido común no enviar fotos sensibles o privadas por medios fácilmente hackeables. La privacidad es un derecho pero ser tonto es una opción. Si quieres tener seguros tu archivos, no uses un medio masivo que es masivamente target de hacers.
¿O ustedes mandarían fotos porno o dinero por correo convencional? Los Wire Transfer no solo fueron creados por la rapidez, fueron creados para "asegurar" el envío.
A ver ¿todavía no hemos aprendido que la privacidad en Whatsapp no existe ni por error? Lo que hay que hacer es no mandar fotos privadas o fotos que no quieres que un día se vean por ahí, y punto. Sentido común y ya está.
A ver ¿todavía no hemos aprendido que la privacidad en Whatsapp no existe ni por error? Lo que hay que hacer es no mandar fotos privadas o fotos que no quieres que un día se vean por ahí, y punto. Sentido común y ya está.
Si tienes suficiente capacidad, que lo dudo, puedes recopilarlas pero, de que te sirve ? Igual das con una foto enviada por un tio ruso a sus amigos, pero eso lo puedes hacer yendote al FB y mirando fotos al azar. Igual hasta ves a una tia desconocida en bolas, y? hay millones de fotos de tias en bolas mejores que esa foto, no tiene ningún interés esa foto si no sabes de quien es, y eso ya no está al alcance de un usuario avanzado. Más bien, está al alcance de la NSA o similares, y esos no necesitan buscar así, solo tienen que pedirselo "amablemente" a whatsapp.
Si no recuerdo mal, badoo y facebook almacenan las imágenes de la misma manera.
Espero que el algoritmo para adjudicar nombre a las fotos sea lo suficientemente complicado para que no aciertes con un foto valida fácilmente
Cuando borras la foto desde el whatsapp, borras el registro y según qué elijas, también borra la foto de la galería, pero la url del sevidor remoto, seguirá estando disponible según la configuración que tenga el servidor. Seguramente haga un commit para borrar fotos con cierta fecha de antigüedad.
Obviamente no es seguro, pero dar con esas url pues no es tarea fácil a no ser, como he dicho, que te hagas con la base de datos del teléfono. Yo estuve jugando aleatoriamente y logré dar con una. Sin embargo, para los grupos sí es necesario que la foto siga residiendo en el servidor. Aunque insisto, obviamente a día de hoy hay mejores alternativas para implementar. A mí me parece una chapucilla para sacar una aplicación cuanto antes y ahora ya les queda grande.
Para todo lo demás... Telegram.
¿Acaso no sabe que hay operaciones que no se hacen en tiempo real?
Que me creo que lo guarde así, pero decir que es así porque ha probado con algo hecho en el momento, pues no es muy objetivo.
Segundo: debería haber intentado abrir la imagen desde un explorador distinto u otro ordeñador. Puede que el sistema considere al usuario ya identificado y le permita acceder al recurso.
Tercero: debería haber borrado la caché del explorador para verificar que no es una copia local
Cuarto: debería haber esperado un tiempo prudente e intentar cargar de nuevo la imagen. Puede que las operaciones de borrado no sean instantáneas.
No sé, no me parece una prueba profesional.
Primero: Sí, y? Igualmente accesible.
Segundo: Comprobado. Sí, se puede abrir sin ningún problema y sin ningún tipo de autentificación.
Tercera: En el momento que lo abres desde otro ordenador, una prueba la otra. Además, no olvidéis que la opción web de whatsapp es simplemente una sincronización con el móvil. Si desconectas el movil de datos, adiós a whastapp web
Cuarto: como he dicho, en mi última prueba la imagen estuvo en línea por más de un mes.
Y no, no es una prueba profesional. Os animo a todos que echéis un vistazo a la base de datos Sql que se almacena en la carpeta de whastapp (creo que hay que ser root).
Por cierto... no tengo nada que ver con la web y no he escrito el artículo ni nada parecido.
Estoy ganando la batalla y poco a poco cada día somos más...
Prueba con WhatsApp Web y tendrás acceso directamente a las URLs.
www.whatsapp.com/faq/en/general/21864047
www.wired.com/2014/11/whatsapp-encrypted-messaging/
Aunque aquí hay un buen debate al respecto:
security.stackexchange.com/questions/79070/how-do-i-verify-that-whatsa
aun que la gente solo envié memes sigue siendo malo por que esta engañando al usuario
Salu2
Una vez que usan Whatsapp no pidas sentido común.
Bueno, eso es perjudicial para todo aquél/aquella ceporro/a que envíe fotos en bolas.
Para los demás, se resumirá en fotos coñazo de los hijos, sobrinos y críos varios. Fotos de hamijos, gatos, perros...
Pero sí, da por culo pensar que haya tan poca seguridad con la información que envías y recibes, pero igualmente con meterte en internet corres el mismo riesgo. En especial cogiendo wi-fi de redes que no conoces.
Lo realmente malo seria la url se pudiera descomponer en contraseña+contador, porque entonces si que seria muy facil obtener todas las imagenes de alguien.
No digo que este bien hecho, pero hay mil cosas peores por ahí...
mnmstatic.net/cache/03/83/230183-1310899064-25.jpg
¿Ves la imagen? Pues a eso me refiero.
habiendo by the face trillones de fotos de tias ultrabuenas que no conoceis? para que quereis ver fotos de tias normales que tampoco conoceis?
puedo entender el morbo de ver en pelotas a tu vecina o a una actriz, independientemente de su fisico, pero a la vecina de un señor de cuenca no le veo la gracia... al menos no veo que merezca la pena tirarte 5 o 6 horas filtrando fotos para encontrrar 3 o 4 fotos meneables...
Celebgate.
El p0rn rollo amateur es lo que más vende, tío. La gente ya se ha meneado bastante con mujeres imposibles.
P0rn de tías normales it's so hot right now!
El p0rn es más seguro.
Pero vamos, me da igual que esten sin cifrar, el hacker que las quiera que lo diga y se las mando directamente
ademas, cada uno tiene sus vicios. lo que me gasto en zorrear me lo ahorro en fumar
Eso depende. Estamos hablando de los servidores de WhatsApp que soportan un volumen de transacciones tremendo, no de tu PC.
Sería una tortura en tiempo de máquina que cualquiera pudiera hacer todo "al momento".
Ah, y en informática "tiempo real" no es un término literal. Se refiere a que hay un tiempo máximo de servicio acotado, pequeño. Pero no es instantáneo.
La url tiene (creo) 73 caracteres, separados en dos bloques; suponiendo 50 caracteres posibles para cada posición (en realidad serán muchos más, pero solo cuento 20 letras en mayúsculas/minúsculas y 10 dígitos), tenemos la nada despreciable cifra de 10^124 posibilidades... muchísimas más que el número estimado de átomos que componen el universo, vamos, complicado acertar!
Además, doy por hecho que no son caracteres aleatorios. Seguramente el primer bloque sea un identificador único de la imágen pseudoaleatorio, y la segunda parte identifique quien accede, dispositivo... cualquier cosa, cifrada con un sha256 o similar
Lo chungo habria sido que la trasferencia se hubiese hecho sin https, permitiendo a cualquiera sniffear la foto.
EDIT: luego de 24 horas los enlaces de las fotos borradas no funcionan (meda object not found).
Pero las fotos no borradas siguen disponible públicamente, sin ningun tipo de encripción.
Seria mas fácil instalar un keylog q esto
Que las fotos sean accesibles después de eliminarlas es completamente normal, puesto que cuando eliminas un mensaje o una imagen sólo es a nivel local, el resto de usuarios continúan teniendo acceso.
En mi trabajo, los tiempos de ciclo son del entorno de los 100ms y windows va "clavao", no pierde el paso sin ser un SO de tiempo real ( si no le aprietas, claro ). Y lo mio tb es informatica.
El tiempo como concepto matemático siempre podrá dividirse. El tiempo real de las personas, es lo que dice #92.
En una linea de envasado de latas de atún a 100ms/lata, yo no soy capaz de sacar una foto a la lata, decidir si está ahuevada y si lo está, dar orden de que se expulse, sin perder el paso, cada 100ms, una lata. Y uso Windows, que si usara otros sistemas más deterministas, podría bajar mucho de ese nivel.
¿O ustedes mandarían fotos porno o dinero por correo convencional? Los Wire Transfer no solo fueron creados por la rapidez, fueron creados para "asegurar" el envío.