Archivo del mayo, 2011

Problemas de seguridad de WhatsApp

Domingo, mayo 29th, 2011

Hace un tiempo instalé WhatsApp porque necesitaba comunicarme urgentemente con @simbilla y era el único sistema que tuve en aquella ocasión.

Al comienzo me pareció un sistema, simplemente, redundante.

Para mandar mensajes instantáneos ya estaba el correo electrónico. Para mandar mensajes cortos, ya estaba twitter (si, también tiene mensajes privados, chicos, no hace falta que hableis por menciones todo el rato), y para la mensajería instantánea ya estaba la mensajería instantánea (de acuerdo, tal vez esta frase también es algo redundante).

El caso es que ya existía GTalk, basado en XMPP, un estándar abierto; GMail, compatible con cualquier otra estafeta de correo electrónico, tal vez uno de los servicios más usados a lo ancho y largo de Internet, y ya teníamos Twitter, que tiene un API abierta y todo.

Y apareció WhatsApp. Y se convirtió en algo imprescindible para los usuarios de iOS.

Había una razón: la conveniencia.

WhatsApp hacía lo mismo que el resto de servicios también hacían (incluso menos), pero con una interfaz más bonita y refinada, y una filosofía de “el usuario no tiene que hacer nada más que hablar”. Y además con notificaciones push, con lo que los mensajes se recibían correctamente en tiempo real, aún cuando iOS no incluía la multitarea como feature.

Pronto se expandió al resto de público potencial: las BlackBerry de RIM, los Google Android, e incluso los Nokia N60. Era lógico: ¿por qué uno iba a poder hablar instantáneamente y sin pagar nada solo si el otro tenía otro iPhone? ¿Para eso no estaba ya Facetime, por ejemplo?

Aunque para estos usuarios no tenía tanta importancia: a día de hoy estas cuatro plataformas soportan Push Email Notifications, con lo que la notificación de un mensaje que llega a tu buzón también resulta instantánea en estos casos, sin recurrir a terceras partes.

Aún así, WhatsApp soporta algo que ningún otro mensajero con tanto público tiene: el emisor puede ver cuándo le ha llegado un mensaje al destinatario. Asi como cuándo cada persona se ha conectado por última vez.

— ¿Pero entonces como dices que funciona WhatsApp?

Muy sencillo.

Paso uno: introduces tu número de teléfono.

— ¿Por qué he de confiar mi número de teléfono a una tercera parte que no conozco?

Porque.. paso dos: ya está. Ahora escoges tu destinatario en WhatsApp y automágicamente aparecerán todos los contactos de los que tengas número de teléfono y que se hayan registrado alguna vez en la aplicación.

— ¿Y cómo es que aparecen ya todos mis contactos si ellos no me han aceptado?

De eso se trata. Si tienes su número de teléfono se supone que te lo han dado porque quieren que puedas contactar con ellos.

— ¿Pero y como aparecen ya?

Porque en realidad, entre el paso 1 y el paso 2, WhatsApp envía toda tu agenda (al menos todos los números de teléfono) a sus servidores, donde los procesan y devuelven una lista con aquellos que son usuarios de la aplicación, sus fotos de perfil y sus frases de estado. El otro no tiene siquiera porqué tenerte en tu agenda telefónica. (Tech: Además, la primera vez WhatsApp te envía un SMS gratuíto al móvil para comprobar que el número es tuyo).

— ¿Y no puedes no aparecerle a alguien?

No, desde que inicias sesión una vez no siquiera botón de cerrarla. Lo más parecido en Android es detener el servicio. O en cualquiera de las plataformas: desinstalar la aplicación.

Aun así seguirás apareciendo como usuario y la gente podrá mandarte mensajes aunque jamás los leas.

 

Bueno, pues yo soy de aquellos a los que les da igual que un tercero tenga los datos de mis contactos, la aplicación es genial.

Bueno, tus amigos tal vez no crean lo mismo, pero si quieres seguir adelante, tampoco es un camino de rosas.

Porque a pesar de que la aplicación se comunica por el puerto 443 (típicamente designado para servicios sobre SSL, una capa de seguridad a nivel de red), toda la comunicación que se realiza entre tu móvil y los servidores americanos de WhatsApp viaja en claro.

— ¿Qué quiere decir esto?

Pues que cada vez que mandas un mensaje a alguien, cualquiera en tu misma red wifi, en tu misma oficina, en tu casa, portal, red, o en cualquier nodo de todo Internet por el que pase tu información, pueden ver con pelos y señales quién le manda qué a quién y a qué hora y desde qué móvil.

 

Y además WhatsApp tiene como información tuya:

Los mensajes y posibles ficheros adjuntos que hayas podido mandar. Los contactos que te tienen añadido y a los que tú tienes añadido en la agenda de tu móvil (hables o no con ellos por WhatsApp).
Tu número de teléfono.

Y una política de privacidad que dice que pueden cambiarla cuando quieran en cualquier momento y sin avisar a sus usuarios. Osea, que de hoy para mañana pueden vender todos tus datos y no tienes tiempo ni a borrarlos.

Esto se basa en este post de SecurityByDefault en el que analizan únicamente estos últimos detalles sobre el (carente) cifrado de WhatsApp (aunque sí hacen toda la pesca de establecer el protocolo seguro, para después mandar las cosas en plano..).

Problemas de seguridad en Tuenti

Domingo, mayo 29th, 2011

Esto es una noticia de la que no existe un “comunicado oficial” al menos que yo me haya enterado todavía.

Resulta que hace poco han comenzado a salir noticias de una nueva versión de una “beta privada” de la red social Tuenti, esta red social tan popular entre los jóvenes españoles.
Esta “actualización” requiere que el usuario introduzca su email, su contraseña y la contraseña de hotmail, lo que ya de por sí puede levantar muchas sospechas. Además suele venir de un amigo (de un mensaje automático creado por el robo de su cuenta), y no de la misma interfaz de tuenti, además redirigiéndonos a un dominio que nada tiene que ver con tuenti.com
Muchísima gente ha entrado en el link (no sé cuántos habrán introducido sus datos, pero tan solo desde un bit.ly que circulaba, las estadísitcas cuentan 351k visitantes).

Es bastante preocupante la falta de cultura respecto a la seguridad y privacidad que hay por el público general a día de hoy.

Actualmente los dominios que he podido encontrar como causantes de este problema de seguridad han sido tirados por DNS (Error: NXDOMAIN), y a mi no me han mandado el enlace, yo me he enterado por twitter.

Comienza el fin

Sábado, mayo 14th, 2011

$latex lim_{\Delta t \to 0 }{ t + \Delta t} = EXAMS $

 

Sé que no he comentado nada de la Xuventude Galicia Net 2011.

Os anticipo que he asistido. Pero estoy demasiado liado últimamente con cosas que hacer como para escribir ne el blog.

A ver si en verano me animo…