Apalabrados, o "Angry Words", el juego de moda. Muchos lo hemos descubierto como un desafío más. Algo a lo que se puede jugar con cualquiera y que consiste en exprimirse el cráneo pensando, con las letras que tienes, cómo completar palabras en un tablero. Aparecieron aplicaciones online o servicios que te "ayudaban" con la generación de palabras, en base a las letras que dispones, y las ya colocadas en el tablero, para que efectúes la mejor de las jugadas. Sin embargo, la poca seguridad del juego, permite llevar a cabo otras acciones.
Comentarios
Pero que trampas ni que trampas. Este tío es un apasionado de la seguridad y lo que hace utilizar sus conocimientos para descubrir debilidades, dando consejos para que tu seguridad en cosas más importantes no se vea comprometida.
#23 totalmente de acuerdo. Su intención es divulgar,no joder (creo).
A ver señores, esto no es un artículo para hacer trampas, esto es un artículo sobre seguridad informática. Y el interés de esto no es aprender a ganar a nuestro cuñado, sino comprobar que apalabrados es una chapuza también en temas de seguridad.
#20 #39 A mí no me parece que sea tan chapuza en temas de seguridad, por el hecho de que simplemente se trata de un juego, y realizar este tipo de trampas no supone nada grave, simplemente hacer trampas en un juego de mesa.
Pero ni se están transmitiendo datos valiosos, ni se realizan apuestas con dicho juego, ni nada parecido. Por lo que no existe una necesidad de implementar una seguridad.
La seguridad debe de ser acorde con lo que se debe proteger, y aquí no hay nada que proteger. El simple hecho de coger un diccionario ya supone hacer trampas en el juego, y es algo que no se puede evitar, por ello creo que no tiene mucho sentido dedicar trabajo a realizar el juego seguro.
Es como si tienes que realizar un cerco para unos animales en una granja, para tenerlos minimamente controlados, pero siempre se ha de dejar una puertecita. Lo normal es poner una valla pequeña, y no esmerarse en una gran valla por el hecho de que algunos animales la puedan saltar. Sí, se puede poner una valla profesional, y puede que a muchos profesionales les cueste lo mismo, ¿pero merece la pena si por la puertecita podrían salir los que quisieran? ¿Realmente nos importa que salgan los animales?
Por lo demás, excelente artículo. Me ha resultado muy interesante el análisis realizado del servicio.
Pero repito, es un juego, no la web de un banco, no creo que sea criticable la falta de seguridad.
#43 es un juego, pero si intercepto la contraseña de un usuario (que se transporta sin seguridad), podré entrar en su apalabrados y enviarle mensajes a sus contactos solo por joder.
Además, probablemente esa contraseña coincida con su contraseña de facebook, o de correo...
#70 #66 #46 Tenéis razón, un password debería de ir siempre cifrado, sea de lo que sea.
#78 "Puede" que sea posible, es posible que exista dicho agujero, pero es una hipótesis, no se ha encontrado tal agujero, por lo que no podemos criticar que exista.
Afortunadamente, a las aplicaciones se les otorgan unos permisos, así que el supuesto código malicioso, en el caso de que existiera un agujero y pudiera llegar a ejecutarse, tan sólo podría realizar las operaciones a las que se les ha dado permiso. Y un juego de este tipo no debería de tener permisos que pudieran realizar cosas "maliciosas". Digo debería, porque no tengo ni idea de los permisos que pide, porque si pidiera permisos que no necesita, sería algo criticable tanto si fuera seguro como si no, más aún tratándose de código cerrado. No se deben otorgar permisos para los que no está destinada la aplicación, por muy segura y confiable que sea.
#81 Sí, sí, es una posibilidad que no está confirmada, pero es probable.
Tienes razón, sinceramente tampoco se los permisos que tiene la aplicación.
#43 Mucha gente utiliza su cuenta de facebook para entrar, vale, que facebook no es la NASA, pero jodería que te lo pillaran, mira que mandarlo en texto plano, puff
#66 Cuando se utiliza como login la cuenta de twitter o facebook se usa la propia seguridad de la api por lo que los datos no van en plano, los datos van en plano cuando se introduce usuario y contraseña en el formulario de login.
#43 Si tu crees que una aplicacion web que no tiene ni el minimo cifrado de login y pass y que envia y almacena los datos en texto plano no es una patada a la seguridad entonces no se que es
Muy grande SBD com siempre
#43 "Así que a base de pruebas, quizá sea posible ejecutar código remoto en el dispositivo de la víctima"
Te está diciendo que, investigando más, pueduede que llegue a ser posible ejecutar código remoto en el dispositivo de la víctima. ¿Sigues pensando que no es necesario "implementar una seguridad"?.
Como dice el primer comentario: Búscate una novia
#7 #25 #38 Menuda falta de respeto hacia un grandísimo trabajo. A lo mejor los que necesitan "una novia", "se aburren", o son "frikis joer", son los que pierden el culo en Menéame por desautorizar brillantes posts usando comentarios o votos negativos.
Que simplistas que sois, joder ... Que triste.
#13 #14 #33 #7 #25 #38
anda a la mierda
Joder troncos, podríais leeros el artículo antes de comentar.
Esto se parece cada día más al congreso, pero sin iphones ni cafés a 80 c.
>> Un tipo hace un buen análisis de la seguridad de un juego online.
>> Los meneantes lo critican por "hacer trampas".
De verdad que sois la hostia.
Está muy bien este artículo porque nos proporciona una magnífica excusa para cada vez que perdemos una partida: el otro hizo trampas.
Muy español todo.
A mi no me hace falta hacer trampas para ganar.
Desde que aparecieron las aplicaciones que hacen palabras e incluso con la posibilidad de establecer un orden de letras hay gente que en el chat te dice cosas como "eres imbencible" (sic) y después escribe palabras como ditaína (alcaloide que se extrae de la corteza del ditá y se emplea en medicina como febrífugo) o deíxis (señalamiento que se realiza mediante ciertos elementos lingüísticos). No os engañéis, por muchas partidas ganadas, seguís siendo unos lerdos.
#6 A ver si vas a ser de esos que no son capaces de escribir "a mí" pero sí conocen localismos de la selva guineana...
#65 te doy la razón, y eso que soy el creador de una de estas herramientas...
Pero tampoco subestimes el método "prueba y error", del que soy asiduo, lo reconozco!
#67 Sí, sí, si yo soy de las que cuando no me queda otra pruebo a meter en todos los huecos que quedan (la frase fuera de contexto mola mucho) pero a mí nunca se me ocurriría probar "palabras enteras" y es ahí donde a la gente se le ve el plumero. Y sobre todo por lo dicho, porque en privado no son capaces de escribir palabras de uso común y en el tablero son lingüistas de primera línea. Menudo cante.
#69 déjalos, a ver si me hacen ganar algo de dinero y me jubilo a los 30....
#65 No no y tengo amigos que pasan de jugar conmigo porque piensan que hago trampas.
Ya es patético hacer trampas en un divertimento que es para pasar el ratillo. Ni que fuese una competición o hubiera un premio, jo.
Y digo yo, en vez de hacer trampas, ¿no es mejor jugar con un poquito de mala idea, jodiendo al contrincante dentro de las normas? Porque más gratificante que el simple hecho de ganar, es machacar al contrincante jugando bien.
#19 628. ¿Jugamos?
#76 Yo tengo contrincantes asiduos que, incapaces de ganarme, me han llegado a enviar "secuaces" para que me ganen, pasándole mi apodo a sus amigos, pareja, etc.
#65 Tampoco es tan raro. Para machacar al contrario (no digo simplemente para ganarle, sino para arrasarle en puntuación) hay que ir probando combinaciones de letras que aunque te resulten desconocidas maximicen la puntuación resultante. Muchas veces resultan ser palabras válidas aunque personalmente no te suenen de nada. Y no hay nada como fulminar a un contrincante con combinaciones raras de más de 100 puntos.
#74 Con la "Q" tienes dos opciones. O la colocas en cuanto veas una "U" libre, aunque hagas una mierda de turno, o se la endiñas al contrincante cambiando fichas cuando apenas quedan fichas por repartir. Con esta última opción directamente pierdes un turno, pero prácticamente te aseguras de que el último turno será tuyo porque el contrincante no va a poder quitársela de encima.
(Sí, me gusta este juego, ¿qué pasa?)
#79 Nadie dice de hacer trampas, sólo que existe la posibilidad de hacerlas por culpa de la escasa seguridad que tiene la aplicación. De hecho, necesitas que el otro se conecte por WiFi "abierta", usar el sniffer y todo eso. Por lo demás, totalmente de acuerdo yo soy de los que "saturo" el servidor probando palabras y usando la tecla de "recoger" mientras estoy subiendo otra ficha para ir probando posibilidades. Por cierto, 485/122
#80 Ya he entendido el sentido del artículo. Yo hablaba del patetismo de las trampas más por lo de usar aplicaciones externas para generar palabras. Hasta que lo he leído ni sabía que existían, y me parece algo realmente miserable e innecesario en un juego donde realmente no se gana nada aparte de pasar ratos entretenidos.
¿Soy el único lo suficientemente listo como para no pensar en "Uhhh... ha hecho trampas" o "Hacer trampas, puaj... Typical Spanish" y al mismo tiempo ser lo insuficientemente listo para no poder decir "¡Bah! Esto es muy viejo" o "Este tio se cree el puto amo pero eso está tirado de hacer"?
Porque yo lo veo un artículo muy muy interesante sobre seguridad informática y sobre como ha sido implementado un sistema de juego online.
En el que además (y muy importante) al final del todo el autor ofrece una serie de soluciones que a mi, personalmente, me han parecido interesantisimas.
Y aunque muchas de esas soluciones fuesen bastante lógicas, o viejas como dirián algunos, no viene mal recordarlas de vez en cuando. Aunque sea para las nuevas generaciones que empiezan con esto y se perdieron lo que se comentaba por los Internetes en la decada pasada, que al fin y al cabo todos hemos empezado alguna vez y en diferentes puntos de la historia. Y sobretodo teniendo en cuenta que hasta los desarrolladores de las aplicaciones con más exito siguen haciendo sus cagadillas y chapucillas.
Bonita clase de seguridad, meneo.
Es que no pensáis más que pa mal, ...
Hay que ser muy cutre y/o patético para hacer trampas al Apalabrados... Y no me refiero al autor del artículo, que se centra más en un estudio sobre la seguridad del programa.
Pues vaya... hacer trampas en algo que usas para el ocio es como echar una carrera contra ti mismo para que nadie te gane... me parece absurdo, pero bueno, como curiosidad, ahí está...
#16 ¿Te has leído el post? Prueba a hacerlo, ya verás qué risa cuando veas que en ningún sitio se habla de cómo hacer trampas jugando.
Entonces ¿Alguien me echa una partidita?
JAJAJAJAJAJAJAJAno
#4 Cuando quieras, pero de lejos!
"sólo es posible en aquellas situaciones en las que se utilice una red wireless para la comunicación de datos y sea posible el MiTM. En caso de jugar con 3G no habría forma de efectuar estas manipulaciones"
Este inventa un método para hacer trampas al solitario y aún lo publicará diciendo ¡soy guay!
#14 Pues hace muy bien en estudiarlo y en publicarlo. Es una buena forma de que mejoren los sistemas informáticos, ya sea el acceso a la página de un banco o un juego.
http://es.wikipedia.org/wiki/Prueba_de_concepto
#20 Si, como ensayo informático de búsqueda de bugs y 'mira que mal han programado esto' está muy bien, pero titularlo "como ganar siempre al apalabrados" haciendo que lleguen mensajes de error al contrincante... chustita oiga.
#26 Ahora ni un toque de humor le puede dar uno a sus articulos... cojonudo hoygan!
#14 Gracias a web como esa nos beneficiamos todos, ya que demostrando la facilidad con la que se modifican respuestas, datos, etc, obligan a mejorar la seguridad con la que las webs almacenan nuestros datos privados. Los informáticos aprendemos bastante sobre ello con buenos ejemplos como este.
Web muy recomendada, más de un tuto tengo yo pasado a PDF de ellos para la posteridad
#13 #14 #33 Y otros:
No se trata de trucos para ganar al apalabrados, sino una muestra de la evidente falta de seguridad en el tráfico de la aplicación. No se trata de ser "más guay".
Security by Default no es una página de lamers, sino una de las páginas web de mayor calidad en contenidos sobre hacking y seguridad informática. Gracias a ellos se sabe que Whatsapp trata tu información como una mierda y con fines menos éticos aun; además de docenas de aplicaciones para evitar ser espiados por varios programas "guays".
#3 No te imaginas hasta qué punto Sergio Ramos y su staff tienen aprovechado su talento.
http://www.elladodelmal.com/2009/01/entrevista-alejandro-ramos-el-dab.html
Un poco de respeto a los profesionales...
A mi lo que me parece fatal es que las "Q" valgan solo 5 puntos siendo realmente complicado colocarlas mientras que la "Z" que es más fácil vale 10 puntacos.
No cuenta nada nuevo, eso se sabe desde hace siglos. Y ahora lo han medianamente adecentado. En los primeros meses, podías ver la información de cualquier usuario, email incluído. Actualmente, además, cualquiera que tenga visible la foto (que es la del perfil del facebook), puedes sacar el perfil. ¿Cómo? El servidor de Apalabrados envía al cliente (el móvil) el id de cuenta de facebook, de forma que el móvil puede sacar la foto de:
http://www.facebook.com/profile.php?id=XXXXXXXXXX
y mostrártela. Es una aplicación en la que la seguridad brilla por su ausencia.
Los comentarios de este envío parecen sacados de Youtube. En serio, es un artículo sobre seguridad informática y el juego no es más que un... sujeto de pruebas.
Lo que se nota es que la mitad de los usuarios comentan sin leerse el artículo/noticia
El juego de moda? Esto ya está pasado de moda, al principio tenia su gracia pero ya me ha cansado
¿Esto no se llamaba "scrabble" o algo así?
Como curiosidad vale, pero un poco fantasmón. Todo lo que muestra es para "engañarte a ti mismo", o como mucho gastar bromas a gente conectada a tu mismo wifi. La seguridad que tiene es más que suficiente para un juego de entretenimiento, no se está enviando información secreta de la NASA, ni transacciones bancarias.
Muy interesante. Esta gente de Security By Default hace que los temas de seguidad informática sean hasta entretenidos
Prefiero seguir estrujándome los sesos...no he entendido ni chufa del artículo.
Vaya jodido friki, LOL
¿Apalabrados? ¿Qué es eso?
Genial análisis!
Joer...yo lo bajé ayer por primera vez, pero si empezamos con estas mierdas ya no tiene gracia...
Desde que mantengo simultaneamente 4 ó 5 partidas de Apalabrados y otras 4 ó 5 de Ajedrez (Chesspresso), mi vida ha cobrado sentido. Al menos sé que alguien, en alguna parte del mundo, se está acordando de mi ( y a veces de mi santa madre).
No he entendido nada, es chino?
#29 Es chino de la dinastía h4x0r 31337
#32 Pues que no jueguen con las emociones de la gente. Podían avisar de que está en idioma alienígena
Uy si!! facilísimo!!...
TL;DR
http://goo.gl/9pzvz
Está bien, pero no me gustan esas soluciones, sólo se puede ganar forzando al rival a pasar o a rendirse. No puedes colar palabras falsas, así que se el rival daría cuenta rápidamente, o se aburriría..
"Tiene cierta lógica, puesto que la empresa desarrolladora de Apalabrados, es de las latitudes de la tierra del exquisito dulce de leche."
Dios... como me chirrían este tipo de frases...
, se nota que en unos días empieza un torneo patrocinado de Apalabrados donde el ganador se lleva un coche...
Yo tengo un vicio considerable con el juego, pero no se me ocurriría hacer trampas. Lo que sí me pasa es encontrar palabras que están aceptadas y que no tenía ni idea de su existencia, por aquello de ir probando llegar al triple de palabra o de letra... Por cierto acabo de superar mi récord personal: 512 puntos.
..sí, como queráis, pero ha llegado a portada.
Está bien para esos que sabes que no dan para más y ponen palabros realmente complejos.
Odio a los chetos.
Para hacerlo tienes que secuestrar la cookie de sesión que genera la aplicación
en caso de jugar por 3G, con un proxy o vpn estaría solucionado el asunto
Todas las aplicaciones de movil son un foco de agujeros de seguridad.
Yo paso de juegos "online" en el movil y menos aceptando que me tengo que logar con mi cuenta FB, ¿la gente piensa? prf.
qué pasa que como no es un cheat tipo pulsa intro y letra a la vez ya no es interesante?? desde luego que ganas de criticar teneis y que mala es la envidia...
' OR 1=1; DELETE FROM user;
Interesante artículo pero si quieres pasar un rato divertido mejor no hacer trampas, aun así si te cuesta buscar palabras puedes utilizar algún buscador de palabras , hay muchos y muy buenos por ejemplo: http://www.palabras-que.com , lo bueno de ese juego es que te puedes estrujarte el cerebro...
Menuda gilipollez, pues para eso no juegues y punto
Lástima de talento desperdiciado.
#3 Talento desperdiciado ¿por qué? Por lo que veo, el autor del blog se dedica profesionalmente a la seguridad informática.
#15 lo grande de internet es cuando la gente comparte gratis sus conocimientos y experiencia profesional, talentos, etc: Montt en dosis diarias, Oatmeal, músicos, fotógrafos, etc.
En resumen, que el apalabrados del iphone es una puta mierda, no hacía falta poner tanto texto.
#11 ¿Has hecho algo parecido o mejor? Porque a lo mejor la mierda aquí eres tú. Qué envidia les da a algunos el éxito de otros
¿Apalaqué? ni idea de que habla hoygan
hacer trampas en un juego, typical spanish
YO juego con colegas y si veo que hacen este tipo de cosas dejo de jugar con ellos. Simple.
Es una lastima que hayan sacado tantas cosas para ganar en el apalabrados, al final ha perdido toda su gracia ya son ganas de joder la competitividad Aunque al menos esta manera de "hacer trampas" es cuanto menos curiosa y que el tío se lo ha currado
Fuck you very much!
Está guay, pero no deja de ser una gilipollez y manda uebos que salga en portada.
Hay que tener narices para ponerse a buscar cómo hacer trampas en esto, que pierde la gracia..
No entiendo la gracia de jugar así.. Nunca lo entenderé..
Gente que se aburre, tela, tela... '
Vaya friki joder