Una de las ventajas de WhatsApp (y otras aplicaciones de mensajería) frente a los SMS o los e-mails son sus famosos 'ticks azules', el símbolo que permite saber si cada mensaje enviado ha sido recibido y leído por el destinatario. Pero la misma tecnología que permite a WhatsApp ofrecer esta pequeña funcionalidad tan valorada por los usuarios también es la que ha generado un agujero de seguridad que facilita que la aplicación 'nos chive' la geolocalización del destinatario del mensaje. ¿Cómo es eso posible?
Comentarios
El contenido del mensaje: where are you?
#1 Y del clickbait no me dices nada, porque ya es el segundo que me marco hoy
#10 No quería #ahorrarleselclick para que pinchen y poder localizarles
#1 Scooby Doo.
#4 ya que si es alguien que no conoces lo bloqueas directamente.
A no ser que sea un principe nigeriano que acaba de heredar o una modelo de lenceria ucraniana de veinte años que necesita tu ayuda para huir de Jerson.
Me parece un poco rocambolesco, pero bueno.
#2 Por no decir exagerado y sensacionalista.
#2 como dice en la noticia, sólo sirve si te lo manda un contacto de confianza, ya que si es alguien que no conoces lo bloqueas directamente. Y si el que lo manda es de confianza, con decirte "tío dónde andas?" ya tiene suficiente
#16 Por el tamaño de los paquetes, lo explican en el paper. Es conocido el tamaño de cuando envías y cuando se recibe el segundo tick. El tiempo entre ambos es lo que se mide.
#17 gracias por la información. No lo he leído. Parece fácil de parchear entonces. Con meter datos de relleno de longitud aleatoria (y/o tiempos aleatorios de respuesta, como indican en el artículo).
Ya hay que ser conspiranoico para alarmarse por esto
#13 Creo que tu vecina te está espiando con los prismáticos
.
No sé por qué pero he tenido que escribir dos veces el comentario, me salía que he usado palabras prohibidas, ¿wtf?. Decía que no entiendo cómo se puede localizar la posición, en todo caso se podría obtener un radio, porque si todos los mensajes pasan por el servidor central de whatsapp, pues no puedes cambiar el orígen. Si saco tiempo me leeré el paper. Lo segundo es que se han usado cosas parecidas contra bases de datos para ver qué términos tardan más en validarse, y así hacer análisis probabilístico.
Estos (una vez más) no se enteran, el tema está en la marca de notificación de ENTREGA, no en la de lectura, por eso están afectados los servicios que notifican la entrega, y no los que no (como Telegram).
#8 eso me parecía a mi.. No tiene demasiado sentido. Los mensajes se leen en tiempos no predecibles.
Aparte de eso, hay mil factores que hacen que los tiempos de confirmación de entrega se dilaten. Un móvil lento o saturado mismamente..
Y lo de usar wireshark para hacer medición de tiempos, lo entiendo menos. Me colocan como detectan el mensaje de ida y el de confirmación en un chorro de datos encriotados?
Siempre y cuando tengas activada la Ubicación del móvil. Yo sólo la activo cuando uso el navegador, y al resto de aplicaciones les tengo restringido el permiso.
No se porque no consigo que se me abra el paper de arxiv.
Alguien que lo haya leido puede explicar que quierne decir con:
inferir la ubicación de otro usuario de WhatsApp con una precisión que puede llegar a superar el 80%
Que es una precision del 80%? 80% de que? Del radio de la tierra? De una ciudad?
#5 Precisión de acierto de cada predicción.
#7 Gracias. Pero... entonces... Como definen "acierto"? Con que exactitud detectan tu localizacion?
A ver si luego puedo bajarme el paper.
#9 Quizás en el paper está bien definido lo que significa ese 80%. Lo preocupante es que en el artículo escriban eso de "precisión del 80%", se queden tan panchos y que probablemente muchos lectores lo darán por bueno sin plantearse que eso no significa nada.
Me cuesta creer. En todo caso, obtendrán una distancia. Y con los servidores de WhatsApp por en medio.
#teahorrounclick
cada notificación tiene un retraso predecible que revela la posición del usuario.
Si, con antelación al ataque, se realiza una fase previa de mapeo, enviando mensajes a varias localizaciones ya conocidas, es posible calcular posteriormente una localización desconocida enviando mensajes al objetivo y midiendo el tiempo necesario para recibir las notificaciones de entrega.
Yo lo primero que hice cuando salió eso es desactivarlo.