30 enero 2013

Cualquiera puede ver tu foto de perfil en Whatsapp

Dado que este es mi primer post en SbD, me presentaré.
Mi nombre es Alejandro Amo y trabajo como consultor IT empresarial. Abarco desde el marketing y la comunicación hasta el área de planificación y operaciones en sistemas de la información, pasando por la escritura y redacción comercial o la gestión de crisis de reputación online. En otras palabras: no soy precisamente un perfil 100% técnico.
Sin embargo, aunque no especializado en ella, siempre he estado en contacto con el mundo de la seguridad; puede que algunos me conozcan como alist3r, seudónimo bajo el cual he aportado como desarrollador en proyectos como Wifiway.

Ya presentado, entro en materia. Me temo que voy a realizar mi incursión en SbD con un post sobre Whatsapp, un tema muy tocado en SbD, pero no es para menos ya que la aplicación siempre ha dado que hablar desde su nacimiento. Hoy os traigo un juguete nuevo que nos ayudará a sacarle partido a todo lo que ya sabemos acerca de Whatsapp, y esperemos que también sirva como herramienta de concienciación del usuario promedio.

Estas pasadas navidades decidí, junto a berni69 (creador del famoso airwin), unir fuerzas y conocimientos para condensar en una web todo lo comentado en estas líneas, de manera que fuera fácil de comprender, de compartir y de usar, que tuviera impacto visual para la gente y que fuera sobre todo concienciadora y didáctica. De esta idea nace WhatsappVoyeur.

Whatsappvoyeur es un servicio web que permite a cualquier persona, incluso sin el uso de teléfono movil, obtener todos los datos de perfil de un determinado usuario de Whatsapp. En el momento de escribir estas líneas somos capaces de proporcionar los siguientes:
  • Foto de perfil a tamaño real y fácil de descargar a disco como cualquier imagen de una web
  • Frase de estado o "status quote"
  • Último momento en que el usuario cambió la "status quote"
  • Último momento en que el usuario apareció conectado en la red
Con ello pretendemos realizar la prueba de los siguientes conceptos y aplicaciones prácticas:
  • Determinar si un usuario te ha bloqueado en Whatsapp (cotejando datos con tu movil) 
  • Capturar la foto de perfil a tamaño real (con mas detalle de lo que la gente cree cuando las elige)
  • Controlar la actividad de un determinado usuario (controlar si está o no conectado)
  • Demostrar que los datos de todos son quasi-públicamente accesibles debido a las políticas de Whatsapp (solo hace falta estar autenticado dentro de Whatsapp - la web conecta a Whatsapp usando conjuntos de credenciales válidas que hemos creado para la ocasión)
A los ojos de un seguidor de SbD, WaV no es más que una herramienta cómoda para hacer pruebas de concepto, curiosear y jugar un poco, pero como he dicho antes todo está pensado especialmente para concienciar y facilitar la experiencia del usuario menos avezado, con textos muy explicativos del concepto, así como una interfaz vistosa pero simple y fácil de usar, con "responsive design" para adaptarse tanto a móviles como PCs.
Mi experiencia con un grupo de pruebas de estos usuarios es positiva y les ha ayudado a entender la poca protección de sus datos en Whatsapp, y esa es precisamente la intención.

Tanto Berni69 como un servidor esperamos que os guste y que la utilicéis para jugar y curiosear ;) concienciar a los usuarios de estos temas tan importantes, ya que si la gente supiera que su foto de perfil en Whatsapp es prácticamente pública, se lo pensarían mas antes de ponerse fotos como esta...


WTF!

O igual no, ¿quién sabe? hay gente para todo... ;)

¿Cómo y por qué funciona WhatsappVoyeur?



Antes de nada debo rememorar uno de los problemas de Whatsapp que ya fué comentado aquí: los datos del perfil de los usuarios de Whatsapp eran completamente accesibles al público, mediante una simple consulta a una url. Ni siquiera era necesario entrar en la red interna de Whatsapp propiamente dicha.

Gracias al script de Alejandro Ramos pudimos practicar el harvesting de todas las cuentas de Whatsapp de España, saber que por aquel entonces sumábamos casi 10 millones de usuarios, y tener sus "status quotes" en una base de datos. Todo ello, sin esfuerzo, sin más límite que el de nuestra paciencia, sin siquiera necesitar credenciales válidas de Whatsapp.

Desde el punto de vista de arquitectura, modelo de datos y privacidad, es de lo mas "braindead" que se puede perpetrar.

Pues bien, el 9 de enero, Whatsapp realizó un nuevo cambio en el protocolo de comunicaciones, con la intención de resolver este asunto: han desaparecido de sus servidores los archivos PHP contra los que podíamos hacer un query usando simplemente wget, curl o un navegador regular. 

Adiós a "https://sro.whatsapp.net/client/iphone/iq.php"

En su lugar, implementaron un protocolo de intercambio de datos de los contactos. A este protocolo le llamaremos "Contact Sync V2", tal como ha dado en llamarle el egipcio Tarek Galal, creador de la API yowsup. Dicho protocolo está colocado donde siempre debió estar: debajo de la capa de sesión. Los datos devueltos por este nuevo conjunto de comandos son muy parecidos a los que devolvía el famoso archivo iq.php, con la salvedad de que ahora es necesario estar autenticado contra el servidor de Whatsapp para poder enviar esos comandos.
Seguramente el lector pensará:
¡Bien! ¡Ya tenemos una mejora! Nuestros datos personales de Whatsapp ya no son públicamente accesibles...
...bueno, pues no. Pensemos por un momento en el modelo de datos de Whatsapp, en las reglas bajo las que han definido dicho modelo: una de las características más inseguras del protocolo Whatsapp y de las relaciones entre sus usuarios es que "quien no está explícitamente bloqueado está implícitamente permitido". Cualquier persona que añada nuestro número de teléfono a su agenda puede ver nuestra foto de perfil, nuestra "frase de estado" y controlar en todo momento si estamos conectados, o cuánto tiempo hace que lo estuvimos por última vez. Y todo esto nos está sucediendo sin que nosotros podamos hacer absolutamente nada por evitarlo, en tanto en cuanto el individuo que nos "controla" no nos envíe un mensaje que delate su presencia (ese es otro tema: esta política permite que un usuario nos envíe un mensaje sin que lo "aceptemos" previamente como contacto. Podremos bloquearlo, pero ya nos ha molestado. Para aplicaciones de spam puede ser rentable cambiar de número cada vez y seguir molestando...)

Pero hay más. No es solo un asunto de mi privacidad como individuo (que un headhunter, un responsable de RRHH, mi ex pareja o mi jefe puedan controlarme a mí, como persona elegida arbitrariamente, desde números que desconozco y de los cuales yo no puedo defenderme). También es un asunto de privacidad como elemento de una masa. Es decir, que aún es posible realizar un "harvesting" masivo de los datos de los usuarios, tal como hizo en su día Alejandro Ramos, con tan solo añadir dos elementos nuevos: unas credenciales de usuario de Whatsapp válidas (muy fáciles de obtener) y la adaptación al nuevo protocolo "Contact Sync V2" (cosa que Tarek Galal nos proporciona con su API yowsup, que no tardó en actualizar para reflejar los cambios). Nosotros en WhatsappVoyeur simplemente ofrecemos una interfaz ágil para usar la API y unas credenciales secretas para consultar cualquier número sin que nos puedan bloquear.

Uno puede pensar que, ahora que se nos piden credenciales para obtener los datos de los contactos, Whatsapp podría realizar un control del número de querys por usuario/tiempo...
...bueno, pues tampoco. He realizado stress testing y he validado hasta 700 contactos a un ritmo de 30-40 contactos por minuto. Demasiados. También he obtenido las fotos de perfil de los usuarios comprendidos en un rango de 30.000 números de teléfono. Y ya habeis visto más arriba una prueba del espectáculo, entre dantesco y divertido, que eso puede llegar a suponer...

Conclusión


El protocolo "Contact Sync V2" apenas implica una mejora real en la protección de nuestros datos de perfil en Whatsapp. Solo coloca una barrera de autenticación frente al exterior, pero no nos protege de otros usuarios autenticados en el interior; no nos protege como individuos porque las políticas en sí mismas no lo hacen (deficiencia de diseño), y tampoco nos protegen del "harvesting" masivo porque, si bien el protocolo "Contact Sync V2" proporciona una base técnica para impedirlo, no se le ha sacado partido aún.

Las políticas del tipo "lo que no está explícitamente prohibido, está implícitamente permitido" siempre deben ser implementadas con mucho cuidado, pero cuando los nombres de usuario son números de teléfono móvil que cualquiera puede obtener y sondear, y cuando están en juego nuestras fotos y otros datos que pueden ser bastante sensibles... es una muy mala idea de base.

Y digo "de base" porque es un error de diseño en sí mismo. No es una deficiencia del protocolo de comunicaciones sino una deficiencia del modelo de datos y de su lógica inherente. Whatsapp debería cambiar muy profundamente la definición del modelo de datos y los procesos de integración con nuestra agenda en el teléfono, cosa que dudo mucho que tenga en mente hacer. Ante todo soy consultor tecnológico empresarial y sé que, lamentablemente, hay cosas que no son rentables en un contexto de negocio; sé lo duro e incontrolable que es tirar adelante una startup mientras luchas con el capital riesgo. Probablemente Whatsapp seguirá invirtiendo lo mínimo indispensable en materia de seguridad, y el 99% de su esfuerzo seguirá siendo el crecimiento de la base de usuarios y la búsqueda de monetización de los mismos. Pero desde el punto de vista del usuario, de su seguridad y su privacidad, opino que Whatsapp ha cometido un error desde el principio y ha excedido los límites razonables de controversia e inseguridad, cosa por la cual (entre otras como peor diseño y peor campaña de comunicación) caerá derrotado por alternativas como Spotbros o Line...

Artículo cortesía de Alejandro Amo

64 comments :

Ácas. dijo...

Muy buen artículo para ser el primero. La web está muy bien hecha y funciona de lujo con mis números de teléfono (no sé si es bueno o malo jajajja).


Muchas gracias por el artículo. Otro crack para SbD ;)

Oscar Calvo dijo...

Muy interesante el articulo, sobre todo para los cotillas ;).

Por cierto teneis directory indexing en el server (/js /css /img etc..)

qweqweqwe dijo...

https://mms.whatsapp.net/client/iphone/upload.php


para que sera eso...?

berni69 dijo...

Muchas gracias Oscar por avisar, ya he corregido ese pequeño despiste! Saludos!

Capde dijo...

Felicidades por el articulo!

Por cierto, un puntazo el nombre de la web!

Tomás dijo...

Genial, pero ¿y el código? Parece que publicar una web se queda un poco corto. ¡Queremos ver lo que hay por dentro! :-D

segura201093 dijo...

Creo que teneis un error en la web... No leeis bien el XML y si se pone en el estado de Whatsapp "<>" ya no lo lee... da fallo al leer el XML. Parece que se piensa que hay otro campo de XML y no lo lee. Por ahora estoy protegido de vuestra app ;)

Calario dijo...

Cuando hablamos de números de teléfono a veces olvidamos que son - precisamente - "númeración pública". Las operadoras, por ley y por cumplimiento de los estándares de interoperabilidad, deben permirtir que cualquier número del rango de la numeración pública reciba y envie llamadas o mensajes a cualquier otro número público, salvo excepciones como impagos, fraude, etc.

Vale que recopilar números con el Whastapp activado es una cosa, pero averiguar si un teléfono está activo en un momento determinado es muy simple: se llama y punto, o se envía un SMS con acuse de recibo. Si se quiere anonimato, se puede llamar con número oculto.



En cuanto a las fotos, bueno, obtener fotos de una persona tampoco es complicado, basta con echar un vistazo al Facebook.


El único problema de seguridad real que le veo a Whatsapp es el de la autenticación con la MAC o el IMEI puesto que esa información es muy fácil de obtener para alguien cercano a la persona que se quiere espiar. Lo demás no deja de ser una curiosidad.

segura201093 dijo...

No se quiere saber si un número esta activo, sino cual fue su última conexión al servicio de Whatsapp. Lo de ver la foto de perfil es curiosidad. El objetivo es obtener información de un usuario de Whatsapp a través de lo mal que gestionan la privacidad en el servicio. A ver si comprendes mejor lo que lees.

Alejandro Ramos dijo...

Bajo mi punto de vista, que por supuesto no es el único ni el bueno. En el momento en el que el usuario no sabe si su foto es pública o no, o no puede hacer nada para que no lo sea. Es un problema de seguridad.

En facebook yo decido si quiero o no que se vean mis fotos y con quien. Otra cosa es que la gente lo haga mejor o peor o el sistema tome determinadas medidas por defecto.

El protocolo HTTP esta diseñado para responder peticiones web de cualquier cliente, ¿te parece un problema de seguridad que se pueda hacer un flood HTTP? A mi si.

Bajo el mismo argumento, ¿te parece un problema de seguridad que te puedan llegar 12.000 SMS? A mi si.

No es un problema de seguridad, pero yo ya he localizado a 15 bomboncitos (por lo menos de foto photoshopeada) a los que saludar todas las mañanas, y que narices, incluso le puedo mandar alguna foto pervertida. Ya que me pongo.

Un saludo!

Alejandro Amo dijo...

gracias por el aviso!
las imágenes de perfil se generan en tiempo real y se cachean durante un rato en directorio fuera del public_html, asi que la informacion sensible no está expuesta.
voy a avisar a berni para ajustar esa tuerca. para cualquier cosa, podeis enviadnos tambien un mensaje con el formulario web. los reportes de fallos detectados son bienvenidos.
saludos,
AA

Alejandro Amo dijo...

hola! te respondí en privado por correo.
dicen que cuando quieres resolver un problema usando expresiones regulares, al final acabas con dos problemas... jajaja!
pues bien, el parser de respuestas del servidor de whatsapp hace uso de regexes y aún se cuela alguna cosa de vez en cuando. seguiremos trabajando en ello.!
gracias por el aviso,
AA

Alejandro Amo dijo...

es exactamente lo que yo hubiera comentado.
Gracias AR
PD: como ya dije, para los expertos la herramienta no es impresioannte, pero recordad que Whatsapp será denunciada en breve por canadá y holanda (si no recuerdo mal), precisamente por el incumplimiento de leyes en protección de datos. Eso es precisamente lo que queremos concienciar. Esto no es una herramienta de hacking ni nada por el estilo.

Alejandro Amo dijo...

y recuerdo una vez mas que el hecho de que whatsapp permita entregar ese dato (si el numero tiene cuenta de whatsapp o no), es ilegal desde el punto de vista de protección de datos de muchos países. whatsapp envia toda la agenda del usuario al servidor, numero por numero, para saber que contactos tienen whatsapp y qué contactos no. esto es un problema. no tanto desde el punto de vista curiosidad o no, seguridad o no, sino desde el punto de vista estrictamente legal.

Alejandro Amo dijo...

puedes consultar lo mas interesante en http://github.com/tgalal/yowsup

es el padre de la api en python que usamos para desarrollar la app.
solo hemos implementado un parser de las diferentes respuestas que ofrece la api, y una capa de presentación.

Alejandro Amo dijo...

en realidad fué algo por eliminacion, todos los conceptos relacionados con "spy" o "espia" estaban ya tomados por los temibles especuladores de dominios! jajajaja

Alejandro Amo dijo...

jejejeje!
no hay nada mas sano que una curiosidad insaciable :D

Alejandro Amo dijo...

gracias de parte de berni69 y un servidor por la parte que nos toca a cada uno!
PD: el que funcione tan bien es malo, malísimo! espero poder informar en breve que whatsappvoyeur pasa a ser una simple e inutil pieza de museo, pero mucho deberá trabajar whatsapp para que eso suceda!

unvascoenmadrid dijo...

+1. Muy buen artículo y esperamos verte por aquí a menudo. Todo muy clarito y con buena base.

Alejandro Amo dijo...

gracias! siempre que Yago me deje, aportaré mi última gamberrada jajajaja
Gracias por tus comentarios, contrastan mucho con los que leemos en forocoches! que nos ponen a caer de un burro por la "inutilidad" de la página... jajajaj!
"haters gonna hate"

segura201093 dijo...

de nada! Enhorabuena por la app, muy buena! :)

Emilio dijo...

Muy buen artículo y web, Alejandro, Enhorabuena por el trabajo! :-)


Parece que la lista de moviles de pipi era real, alguno todavía existe con el último estado del 27 de Nov, día que se publico.


Saludos
Emilio

Martín dijo...

Excelente artículo que profundiza (aún más) en las deficiencias en seguridad de Whatsapp. La primera vez que me di cuenta de que puedes ver la foto de cualquiera, puse el grito en el cielo y me pregunté como era posible que permitieran algo así. Al final la gente se concienciará y abandonarán Whatsapp.

car dijo...

Solo diré dos palabras, sencillamente genial.

Alejandro Amo dijo...

ya he escapado los <> para que no te escapes tu! jajajaja

Alejandro Amo dijo...

gracias!
pero esto no seria posible sin el verdadero genio que es Tarek Galal, autor de la api que usamos para hacer WaV posible.

Alejandro Amo dijo...

jajaja! claro que era real! sin duda fué uno de los primeros en dar este paso, y gran parte de mi inspiración sin duda vino de ahi! genial que lo menciones! :D

Alejandro Amo dijo...

publiqué un enlace a github pero los comentarios estan moderados cuando tienen enlace. mirate el github de tarek galal, que lo interesante es la API y está ahi!
salu2

Calario dijo...

No hace falta ese tonito ¿no crees? He comprendido perfectamente el artículo. Para lo que comenta el artículo (control de tu pareja o y jefe y cosas así) ¿hay tanta diferencia entre saber si el teléfono esta activo o si lo que estuvo activa fue la conexion a whatsapp?


Me parece que mucha gente del entorno de la seguridad informática, sabe mucho del mundo IP pero muy poco de SS7 :D

Calario dijo...

No tiene por que enviar toda la agenda para saber si un número tiene activado el servicio es mas, no esta demostrado que envíe la agenda, porque le basta con enviar MSISDN. No hay que olvidar que el MSISDN es numeración pública. Es como proporcionar direcciones postales. El delito no está en que alguien meta una carta en tu buzón o sepa si hay luz en tu casa mirando la ventana.

Juan David Gómez C  dijo...

Hola! excelente descubrimiento el que hicieron! pero vamos comparte que super maquinaría hay detrás de la pag :)

Juan David Gómez C  dijo...

Ahh que exito esa librería de Tarek Galal !!

segura201093 dijo...

Si. El telefono siempre esta activo, pero no siempre se esta activo en Whatsapp, solamente cuando dispones de conexión a internet, ya sea a través de una tarifa de datos o a través de wifi. Como bien dices, si se tiene una tarifa de datos se supone que también se está activo en whatsapp, pero si no se tiene la tarifa de datos el teléfono esta activo pero no esta conectado a Whatsapp por que no tiene conexión a internet en todo momento (solamente si se conecta a wifi).

David dijo...

Bueno, para mi queda claro que es una cagada de Whatsapp, pero esto que estais haciendo vosotros, recopilar datos y publicarlos en Internet... ¿es legal? ¿No os estais pasando la LOPD por el arco del triunfo?

Supongo que sabes que Internet NO es una fuente de datos públicos. Creo que os habeis pasado varios pueblos y esto es completamente ilegal.

Por no decir que con la ley que entró en vigor en Diciembre sobre seguridad... ¿cómo era? ya me acuerdo, que si entrabas en una web que aunque no tuviera ni siquiera contraseña, o fuera por defecto esa contraseña, estabas incurriendo en un delito, por entrar donde nadie te llama.

¿Esto no sería cómo aquello de hacer búsquedas inversas en las páginas amarillas? Eso que se prohibió, y que es ¿ILEGAL?

Supongo que habreis medido las consecuencias y sinceramente, me da igual yo no gano ni pierdo nada en esto, pero si yo fuera de esa empresa os intentaba empurar fijo.

Por si no quedó claro, censuro totalmente vuestra acción. Por supuesto tampoco apruebo lo de whatsapp, pero hay otros medios de actuar ante el problema. ¿Y si denuncias este hecho ante AEPD? ¿Y si yo te denuncio ahora ante la AEPD?

ocho dijo...

Entonces entiendo que prefieres que los fallos no salgan a la luz aunque el fabricante no los arregle y solo estén a disposición de algunos sin ningún interes en arreglarlos... FY.
Saludos

Whatsapp Voyeur dijo...

hola
no publicamos datos en internet.
al entrar en la web no puede sver ninguna foto. tu eliges qué numero quieres ver,. es una mera interfaz entre algo que ya estaba ahi, y tú como usuario.
pero el hecho de cambiar el vehículo que se utiliza como interfaz redunda en una concienciación del hecho de que la agenda del movil no está actuando como mecanismo de seguridad en si mismo, cosa que inexplicablemente cree mucha gente cuando es falso.
espero que con esta aclaracion hayas comprendido mejor el aspecto legal, y nuestra intencion al realizar el proyecto.
saludos

Whatsapp Voyeur dijo...

exacto. esa es la postura que nostoros consideramos mas inteligente. si no lo publicamos, la élite os espiará de todos modos. esto presiona a whatsappvoyeur a esforzarse, y sy si quieren nuestra colaboración, aqui estaremos todos los investigadores, dispuestos a colaborar como siempre.

Whatsapp Voyeur dijo...

nosotros ya hemos dejado clara nuestra postura y no comprendemos la tuya, lamentablemente.
whatsapp está totalmente avisada, de hecho siempre lo está, pero rara vez responde a alguno de los investigadores que tratamos de buscar una mejor privacidad para los usuarios.

por esta regla de tres debes denunciar a los siguientes:
- el creador de yowsup, por crear la api que le da vida a whatsappvoyeur y un cliente de whatsapp que funciona en telefonos N90
- al creador de whatsapi que proporciona otra interfaz para consultar datos de whatsapp usando php.
- a los creadores de whatsap-api que ademas estan haciendo negocio de su proyecto.

y notese que si fueras ciudadano de holanda o de canada, tu propio gobierno estaria trabajando con nosotros para elaborar un informe oficial de protesta y reclamacion de los derechos de sus ciudadanos (infórmate y veras que es cierto).

hay tantas mentalidades como personas, pero creemos que en vista de que whatsapp de forma historica no ha respondido a peticiones de nadie, la concienciación y educación del usuario final es todo lo que nos queda. y por suerte, que nos queda.
saludos

Whatsapp Voyeur dijo...

exacto! yowsup , de tarek galal!
interesante verdad?
saludos!

Whatsapp Voyeur dijo...

en realidad, envia toda la agenda entera, numero por numero.

y el hecho de que un usuario con el numero XXXX envie losnumeros YYYY y ZZZZZ a whatsapp, supone una información de tipo "vínculo" que esta tipificada como personal en la legislación de varios paises, y dado que el propietario de ese numero no puede hacer nada por evitarlo, se considera ilegítimo bajo determinados supuestos legales. de ahí que canadá y holanda esten en ello.

Whatsapp Voyeur dijo...

calario,
en mi opinion, has abordado el asunto con un poco de frivolidad simplismo y desdén, por eso es normal que haya personas que salten en defensa de lo que se intenta compartir aqui.

este es un blog de seguridad.

estamos analizando la seguridad y privacidad de un servicio en concreto, donde la gente, por ignorancia, esta poniendose fotos subidas de tono, o poniendo frases de estado que revelan datos privados o los ponen en un crompromiso, y eso es lo que se trata aqui.

conceptos como "se pueden obtener fotos de cualquier persona en facebook" estan fuera del contexto de este blog, puesto que es algo obvio para todos los lectores.
por esa regla de tres, acabamos por completo con la privacidad de los usuarios, porque total, como todos paseamos por la calle y nos pueden hacer fotos....

vovemos a repetir que esto es una PoC para concienciar al usuario promedio. Si no has apreciado valor en lo que hemos hecho, ni siquiera como interesado en la seguridad IT, condicion que se te presupone como lector de esta casa, está bien, pero hay muchos usuarios dando las gracias y es a ellos a quien nos dirigimos con el servicio.


Saludos

Whatsapp Voyeur dijo...

ademas la condicion de "en linea" en whatsapp es mucho mas de lo que ha supuesto erroneamente calario.
la condicion de "en linea" en whatsapp, pasado un determinado margen de tiempo, implica estar usando el terminal físicamente en ese momento.

david dijo...

No comparto para nada tu punto de vista, pero en este NO se trata de mentalidades y puntos de vista y opiniones. En realidad de lo que se trata
es que lo que estás haciendo es ILEGAL, se trata de saltarse la ley de España, porque la verdad, poco me importa la legislación de otros países si a mi no
me afecta. En España hay una ley para estos temas y un organismo que lo regula. Y por lo que cualquiera puede ver, sobre todo a empresas grandes y conocidas les
caen multas por no cumplir la ley, porque como te imaginas no es lo mismo que la ley se la salte la tienda de la esquina que una empresa como la que lleva
whatsapp o un gran banco o una gran empresa de telecomunicación.

Dicho esto podríamos comenzar la charla de bar que me propones, pero vayamos por partes.

Los responsables de los datos son whatsapp. Si hay empresas que crean herramientas que se aprovechan de la mala praxis de whatsapp no son responsables ya que una
cosa es crear una herramienta y otra usarla. Puede que no estés de acuerdo, pero por lo menos en España, los creadores de armas NO son responsables de los posibles
crímenes que se cometan con ellas. El problema y la responsabilidad viene cuando usas esas herramientas para explotar unos datos personales de los que no tienes responsabilidad,
y no te digo si vas y lo publicas. Si sucede esto, si lo sabes, te animo a que lo denuncies también.

Dices que habeis publicado esto para presionar a whatsapp para que arregle el problema. Cuando leo algo así siempre me pregunto si en realidad no será por afán de
notoriedad, ganar unas perrillas o simplemente ego personal y quizá poder tener un tema para dar unas cuantas charlas. Creyendo la mejor de tus intenciones, digo yo, ya que
ya que existe un organismo dedicado a estos temas, ¿has denunciado ante la AEPD? Es gratis y sólo cuesta enviarles una carta. Tu conducta nos lleva a tomar la justicia
por la mano, como forajidos, a tu opinión personal y a aplicar justicia según tus convicciones, que no tienen porque ser las de todos, las mías desde luego no.
En este caso hay cauces legales clarísimos, facilísimos y baratísimos. ¿Por lo menos los has seguido antes de "presionar" a whatsapp?

Tampoco es lo mismo informar de un fallo de seguridad que poner una aplicación deb otón gordo. No es lo mismo publicar que una aplicación tiene un fallo de inyección SQL
que scarse la BD y publicarla.

Y por cierto, whatsapp NO es una aplicación fundamental, una necesidad primaria para la supervivencia humana, ni siquiera para el uso del teléfono móvil, de hecho yo no tengo cuenta en esa aplicació y tan feliz.
Tiene unas condiciones de uso. Puedes publicar los fallos y si la gente sigue usando el programa, si ellos mismo no tienen interés en su propia seguridad, cada uno es cada uno y responsable de sus
actos y datos. Se deberían leer las condiciones del contrato, como se hace cuando compras algo o firmas algo (que pocos lo hagan no exime a la mayoría de responsabilidad). Si su
política de seguridad es deficiente o no te convence, NO USES WHATSAPP, nadie te obliga a ello, podrás sobrevivir a ello. Si la aplicación es una porquería en materia de seguridad
, lo sabes y la usas es tu único problema. No hace falta que venga ningún Robin Hood a salvar a las masas. En cualquier caso aunque tu intención sea muy loable, deberías denunciar
los hechos ante la "policía", en este caso, a mi juício sería AEPD.

Y por último, en ningún momente he hablado de seguridad por oscuridad, no sé de dónde puede salir esa idea, desde luego de lo que he escrito no.
Incluso no censuro en ningún momento, de hecho personalmente me parece correcto del todo, hacer público que hay un fallo de seguridad. En lo que no estoy de
acuerdo es en hacer públicos los detalles de explotación del fallo de manera que cualquiera pueda usarlos y mucho menos en construir una herramienta facilitadora.
Lo de WhatsappVoyeur es incluso ir un paso más allá.

Whatsapp Voyeur dijo...

ya te hemos dicho que no se la salta, david.
estaos registrando el fichero en la AEPD, tenemos el acuerdo safe harbor con el proveedor que está en houston, y el titular del fichero es una LTD de Londres.
Por nuestra parte no hay nada mas que podamos conversar en esta linea.

Jose Alfonso Hernando dijo...

android tiene una opción de enviar determinados números al buzón de voz así que no es tan simple ;).

saludos!

Jose Alfonso Hernando,
Teoría del Todo de ValdeandeMágico

Alejandro Amo dijo...

En honor a la verdad, hay que decir que David es un moderador de cierto foro de temas "hacking" que no supera un enfado personal conmigo por una diferencia de opiniones y que resolvió ejerciendo su poder opresor dentro de dicho foro, ergo su motivación real es muy diferente a la que expone aqui.

David, whatsappvoyeur no te va a seguir mas el juego; como tú mismo dices en el foro: "don't feed the troll".
Que cada uno reflexione y saque sus propias conclusiones, como decíamos antes.
Sin acritud.

David dijo...

Bueno, Alejandro, con el último mensaje whatsappvoyeur ya quedaron claras las posturas de whatsappvoyeur y la mía y no pensaba seguir con el tema para que esto no se haga más pesado de lo normal, simplemente quiero aclarar un par de cosas.

En ningún momento he querido ejercer de troll y como muestra, creo que los razonamientos que he expuesto no son ni extremos ni descabellados. Lo he hecho con total respeto y espero no haber ofendido a nadie. Creo que si lees lo que he escrito dificilmente se puede calificar de flame, troll o como quieras decirlo.

Sólo quiero decirte Alejandro que no tengo el gusto de conocerte, y que en realidad muy pocas veces he escrito aquí o algún otro foro de "hacking" ni de casi nada. Supongo que lo que pasa es que me estás confundiendo con otro David, la verdad es un nombre muy común, pero nunca he tenido un foro de "hacking" en el que ejercer presión ni que yo recuerde había hablado directamente contigo, en ningún foro ni en persona, pero creo que sería un placer conocerte. Simplemente no soy muy original y firmo con mi nombre.

Saludos.

Alejandro Amo dijo...

aclarada tu postura, agradezco el hecho de que te hayas templado en los ánimos.
saludos

ghjtyu dijo...

¿¿no funciona mas?? dice "fuera de servicio" cuando pones que examamine un numero de telefono

RR dijo...

25/02/2013: "Fuera de servicio"

ana dijo...

Hola. Me gustaria saber si las fotos que mandas a algunode tus contactos son también públicas como la foto de perfil? Gracias!! Me ha encantado leer este artículo!!

asdnosin dijo...

han cerrado la aplicacion ._. alguien sabe donde encontrar algo parecido?

Raul dijo...

hola tengo una pregunta espero me la puedan contestar ¿porque mando una foto a un contacto de mi whatsapp y la reciben dos mas de mis contactos a los cuales no les mande nada? no entiendo que hice mal...

Manu dijo...

La gente está fatal

kia slim dijo...

¿Necesita un préstamo? ¿Ha estado buscando dónde obtener un préstamo? ¿Ha estado tratando de obtener cualquier tipo de préstamo? a continuación, aplicar ahora en? (rodrigoluliloanfirm@yahoo.com) si desea obtener un préstamo asequible. Préstamo se ofrece aquí en una tasa de interés muy baja de 3%. Contacte con nosotros ahora si usted está interesado.

Mariam Benson dijo...

Quiero dar las gracias a Dios por el uso ( Druwagbale@gmail.com ) como mi fuente de salvación después de 2 años de desempleo y mi amante me dejó solo durante 2 años, sólo el corazón roto hasta que conocí Dr.uwagbale después de un testimonio de las señoras cómo fue ayudado por el mismo Dr. uwagbale , por lo que decidió ponerse en contacto con él y cuando le dije que todo mis problemas se rió y dijo que esto no es un problema. que todo irá bien en tres días. Exactamente el tercer día de mi ex amante me llaman me sorprendió y lo que más me sorprendió fue que una empresa aplica desde hace más de 4 meses llamado y me dijo que debía volver al trabajo tan pronto como sea possible.Am muy agradecido al Dr. uwagbale , si así lo desea ponerse en contacto con él, su correo es ( druwagbale@gmail.com ) él hace el hechizo de la siguiente manera ( 1 ) Si usted quiere que su ex atrás . ( 2 ) que necesita un divorcio en su relación ( 3 ) ¿Quieres ser promovido en su oficina. ( 4 ) ¿Quieres que mujeres y hombres corren detrás de usted. ( 5 ) Si usted quiere un hijo. ( 6 ) ¿Quieres ser rico. ( 7 ) Usted quiere atar a su marido y la mujer a ser tuyo para siempre . ( 8 ) Si usted necesita la ayuda financiera . ( 9 )
Cuidado Herbal Contactar con él hoy ( druwagbale@gmail.com ) Ser Útil pecado enfatizar juez Hoy

bradleyspeck dijo...

Saludo a cualquier cuerpo que está leyendo mi comentario , agradece a todos va a DR Akim , me casé con mi marido, y vivíamos bien y feliz. que vienen en una medida que a mi marido que use para amar y cuidar de mí, los que no tienen más mi tiempo, hasta que me multaron por lo que él estaba teniendo una aventura con otra mujer, yo trato de detenerlo, todo mi esfuerzo fue en – vano tristemente me divorcie y se fue para la mujer . me vive con dos de nuestros hijos , lloro todo el día, yo estaba en los dolores, el dolor y buscando ayuda. i estaba leyendo un periódico , vi cómo dr akim en ayudar a la gente con su amor y su hechizo reencuentro . por lo que decidí contactar con él y explicarle mi problema con él, él hizo un hechizo de amor que hacen que mi marido vuelva de nuevo a mí y nuestros hijos y nunca pensar en la mujer. este hombre es Dios enviado para restaurar la rotura del corazón y reunir relación. Que el Señor sea vuestra fuerza y seguir utilizando a salvar a la gente relación y cualquier problema que encuentren en contacto con él por ayuda BESTSPELLHOME@GMAIL.COM le prometo que usted, que va , pero una sonrisa en tu cara y te hacen sentir feliz. buena suerte

Mrs Jenifer dijo...

soy la señora Jenifer de EE.UU. .I nunca creer en hechizos y magia hasta que experimenté uno hace algún s y realmente trabajé para me.I estaba enamorada de este chico y él está enamorado de mí también por 3 años y hacer los preparativos para se casan, pero para mi sorpresa, sus padres no querían que su mano en el cos matrimoniales de la religión difference.I estaba a punto de perder a mi hombre a otra mujer bajo la influencia de sus padres hasta que me encontré con un lanzador de hechizos en la red que lo demandó me puede ayudar out.He me ayudó a echo un fuerte hechizo que ayudó a cambiar de opinión a los padres y también me di cuenta de que mi amor por el hombre me ha grandemente increased.We están felizmente casada ahora con kids.People con problemas similares pueden ponerse en contacto con el lanzador de hechizos Email: celynspellcaster@gmail.com nosotros si nos dudas sólo nos dan un correo electrónico, y sus problemas serán solucionados .....

Bradley speck dijo...

Tuve un problema con mi novio hace seis meses, lo que lleva a que nos diferencia. Cuando él terminó conmigo, yo ya no era yo, me sentía tan vacío por dentro .Hasta un amigo mío me habló de uno de sus hechizos que ayudaron en

mismo problema que ella encontró en un programa de televisión. Escrito que el hechicero y le dije mi problema y yo hice lo que me pidió que hiciera brevemente. para cortar el cuento largo, Antes de que supiera lo que estaba pasando, no hasta 48 horas, mi novio me dio una llamada y se vuelve a mí y me dijo que lo sentía sobre lo que ha sucedido, estoy muy agradecido a este lanzador de hechizos y no se detendrá la publicación de su nombre en Internet sólo por el buen trabajo que ha sido doing.If necesita su ayuda, usted puede email él en

(BESTSPELLHOME@GMAIL.COM) y también le ayudará a Dr Akim es su nombre

(BESTSPELLHOME@GMAIL.COM) Siempre estaré agradecido.

Bradley speck dijo...

Tuve un problema con mi novio hace seis meses, lo que lleva a que nos diferencia. Cuando él terminó conmigo, yo ya no era yo, me sentía tan vacío por dentro .Hasta un amigo mío me habló de uno de sus hechizos que ayudaron en

mismo problema que ella encontró en un programa de televisión. Escrito que el hechicero y le dije mi problema y yo hice lo que me pidió que hiciera brevemente. para cortar el cuento largo, Antes de que supiera lo que estaba pasando, no hasta 48 horas, mi novio me dio una llamada y se vuelve a mí y me dijo que lo sentía sobre lo que ha sucedido, estoy muy agradecido a este lanzador de hechizos y no she detendrá la publicación de su nombre en Internet sólo por el buen trabajo que ha sido doing.If necesita su ayuda, usted puede email él en

(BESTSPELLHOME@GMAIL.COM) y también le ayudará a Dr Akim es su nombre

(BESTSPELLHOME@GMAIL.COM) Siempre estaré agradecido.

Daniel Caro dijo...

i will love to share my testimony to you all the people in world i got married to my husband about 2 year ago we start having problems at home like we stop sleeping on the same bed,fighting about little things he always comes home late at night,drinking too much and sleeping with other women out side i have never love any man in my life except him. he is the father of my child and i don't want to loose him because we have worked so hard together to become what we are and have today .few month ago he now decided to live me and the kid,being a single mother can be hard sometimes and so i have nobody to turn to and i was heart broken.i called my mom and explain every thing to her,my mother told me about DR.okoro how he helped her solve the problem between her and my dad i was surprise about it because they have been without each other for three and a half years and it was like a miracle how they came back to each other. i was directed to DR. okoro on his email:okorospell@gmail.com and explain everything to him,so he promise me not to worry that he will cast a spell and make things come back to how we where so much in love again and that it was another female spirit that was controlling my husband he told me that my problem will be solved within two days if i believe i said OK So he cast a spell for me and after two days my love came back asking me to forgive him i Am so happy now. so that why i decided to share my experience with every body that have such problem contact Dr okoro the great spell caster on his email addresses okorospell@gmail.com or +2348158270343

Daniel Caro dijo...

i will love to share my testimony to you all the people in world i got married to my husband about 2 year ago we start having problems at home like we stop sleeping on the same bed,fighting about little things he always comes home late at night,drinking too much and sleeping with other women out side i have never love any man in my life except him. he is the father of my child and i don't want to loose him because we have worked so hard together to become what we are and have today .few month ago he now decided to live me and the kid,being a single mother can be hard sometimes and so i have nobody to turn to and i was heart broken.i called my mom and explain every thing to her,my mother told me about DR.okoro how he helped her solve the problem between her and my dad i was surprise about it because they have been without each other for three and a half years and it was like a miracle how they came back to each other. i was directed to DR. okoro on his email:okorospell@gmail.com and explain everything to him,so he promise me not to worry that he will cast a spell and make things come back to how we where so much in love again and that it was another female spirit that was controlling my husband he told me that my problem will be solved within two days if i believe i said OK So he cast a spell for me and after two days my love came back asking me to forgive him i Am so happy now. so that why i decided to share my experience with every body that have such problem contact Dr okoro the great spell caster on his email addresses okorospell@gmail.com or +2348158270343 ..............................................

Daniel Caro dijo...

i will love to share my testimony to you all the people in world i got married to my husband about 2 year ago we start having problems at home like we stop sleeping on the same bed,fighting about little things he always comes home late at night,drinking too much and sleeping with other women out side i have never love any man in my life except him. he is the father of my child and i don't want to loose him because we have worked so hard together to become what we are and have today .few month ago he now decided to live me and the kid,being a single mother can be hard sometimes and so i have nobody to turn to and i was heart broken.i called my mom and explain every thing to her,my mother told me about DR.okoro how he helped her solve the problem between her and my dad i was surprise about it because they have been without each other for three and a half years and it was like a miracle how they came back to each other. i was directed to DR. okoro on his email:okorospell@gmail.com and explain everything to him,so he promise me not to worry that he will cast a spell and make things come back to how we where so much in love again and that it was another female spirit that was controlling my husband he told me that my problem will be solved within two days if i believe i said OK So he cast a spell for me and after two days my love came back asking me to forgive him i Am so happy now. so that why i decided to share my experience with every body that have such problem contact Dr okoro the great spell caster on his email addresses okorospell@gmail.com or +2348158270343

check dijo...

ha vuelto: http://checkwhatsapp.com/