Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

🗞️

Tu contraseña de WhatsApp es tu IMEI

Josh
3

Para utilizar WhatsApp tras instalarlo no es necesario registrarse ni seguir complicados procesos de autentificación. La aplicación registra automáticamente al usuario, generando un nombre y contraseña únicos, que comunica a los servidores de WhatsApp al inicio de cada sesión.

El nombre de usuario no es más que el número de teléfono y la clave es el MD5 del IMEI invertido (puesto al revés) del teléfono.

Sabiendo esto, es relativamente fácil conseguir acceso al API de los servidores de WhatsApp para ver los mensajes intercambiados por la víctima, si tenemos acceso físico a su móvil (hay que marcar *#06# para ver el IMEI). A partir de ahí, generar su MD5 es cosa de niños.

Este ataque puede ser explotado por aplicaciones maliciosas, que perfectamente pueden obtener el IMEI y número de teléfono y enviarlo silenciosamente a un servidor remoto.

BocaDePez
BocaDePez
-1

Y el link de descarga de esos "programas maliciosos"?

Solo para modo experimental y educativo, claro. :P

BocaDePez
BocaDePez
2

Ostias, que fuerte no ???...

🗨️ 1
BocaDePez
BocaDePez

¿Eso te parece fuerte? ¿Y no te parece fuerte que whatsapp te exija permiso de acceso ilimitado a tu agenda y sms? ¿O que informe indiscriminadamente a todos tus contactos de que dispones de mensajería para que puedan incordiarte en cualquier momento? Whatsapp en sí mismo es una porquería y una tomadura de pelo.

BocaDePez
BocaDePez
1

Según dice en el artículo original que enlazas, la clave no es el md5 invertido del IMEI, sino el md5 del IMEI invertido, que no es lo mismo.

🗨️ 4
BocaDePez
BocaDePez

Creo que es lo que dice el artículo, no??

la clave es el MD5 del IMEI invertido (puesto al revés) del teléfono.

Saludos!

🗨️ 1
Josh
1

Lo he cambiado. Gracias al que dio el aviso.

McRob

Que sucio ha sonado eso de "IMEI invertido" :P.

🗨️ 1
menumorut

..aquí reside una mente maravillosa :)

BocaDePez
BocaDePez

Y no olvidemos que el IMEI tambien se puede ver usando un sniffer de radiofrecuencia.

🗨️ 6
BocaDePez
BocaDePez

el que cualquiera tiene uno en casa o puede comprarlo en los chinos de la esquina por 1€.

BocaDePez
BocaDePez

Una pena que los pocos que hay, además de costar un huevo, solo se venden a fuerzas de seguridad.

🗨️ 2
BocaDePez
BocaDePez

...creo que los bomberos tambien pueden tener algo de eso...

BocaDePez
BocaDePez

hombre podrias llegar a ver los imei que esten circulado en una zona y en un momento determinado pero el de alguien en concreto ya es mas complicado

McRob

Pero si tienes un poco de mala idea saber un IMEI es tan sencillo como pedirle el móvil a un amigo/a con cualquier excusa y *#06#.

onjoe

Whatsapp malo !!!

Avsolutt
-2

Como sois,

Hasta hace 3 telediarios no teníamos ningún tipo de encriptación y ahora que han puesto una, nos quejamos porque no es a prueba del Mossad...

No sé para que utilizais vosotros WhatsApp pero para el uso personal que le doy yo, ya me vale... ;)

🗨️ 5
skizoy

En Android va a ser que no.

Alex

Estas mezclando las cosas. Una cosa es que ahora en iPhone cifre (encriptar es meter en una cripta) la comunicación, y otra es que yo me pueda hacer pasar por tí con un emulador de Android donde ponta el imei de tu teléfono y tu número.

Hay diferencia, verdad? ;)

🗨️ 3
moleinthehole
-1

Claro que sí jachondo. Y la criptografía es la escritura de las criptas, qué coño. Y los tis llevan tilde, no faltaría más. Listo, que eres un listo.

🗨️ 2
mceds

"Encriptar" no es ni meter en una cripta ni ocultar datos mediante criptografía. "Encriptar", simplemente, no existe como término. ¿Que la RAE lo incluirá en un futuro? Probablemente, como admitirá "en base a" o "a nivel de", o eliminará aún más tildes diacríticas. Cosas peores han hecho.

🗨️ 1
BocaDePez
BocaDePez
1

Sabiendo esto, es relativamente fácil conseguir acceso al API de los servidores de WhatsApp para ver los mensajes intercambiados por la víctima, si tenemos acceso físico a su móvil (hay que marcar *#06# para ver el IMEI).

Ya, y si los empleados de un banco anotan en el tablón de anuncios la contraseña de la caja fuerte (para no olvidarse) y deja las llaves colgadas en un clavo (para tenerlas a mano) también sería fácil hacerse con el dinero.

Esto no implica que el sistema empleado sea malo; falla el usuario.

🗨️ 3
mceds

La pregunta clave es: ¿se puede cambiar la... clave?

🗨️ 2
BocaDePez
BocaDePez

cambia de movil

🗨️ 1
mceds

No, si a mí me da igual: no uso WhatsApp. Estaba tratando de dilucidar si es un problema grave o algo como "todos los routers tal llevan la clave 1234 por defecto". Vamos, que lo primero que aprendemos es a cambiarla.

fervigo

Desde el desconocimiento cuasi absoluto de esa aplicación:

Al margen de la inseguridad, ¿esa aplicación que va sobre Internet no te permite tener un usuario y contraseña para usar tu cuenta desde el móvil, pc o lo que sea que te de la gana que tenga ese programa instalado? Porque eso de que el usuario que te mete va ligado a tu tarjeta móvil y la contraseña al teléfono donde tienes instalada la aplicación ...

🗨️ 2
KirO

El servicio está asociado al móvil en el que lo activas sin posibilidad de cambiar la contraseña, de hecho puedes cambiar de SIM y mantienes tu número (muy útil para cuando te vas al extranjero y usas una SIM local temporalmente, por ejemplo...).

El descubrimiento de esto significa que cualquiera que consiga tu IMEI y tu número de teléfono (no daré ideas, pero es muy sencillo) pueda usar tu cuenta de whatsapp.

Salu2!!

🗨️ 1
mceds

Si no se puede cambiar, es una cagada importante. Aunque hasta ahora la gente lo ha venido usando sin cifrado (y desde wifis abiertas) y le ha importado un comino.

Filiprino

WhatsApp, ese servicio que va a suponer una filtración masiva de datos personales o malware, como ya lo supuso el MSN Messenger en su época o el eMule (gente compartiendo todo su disco duro por lo que aparecían hasta sus fotos personales y documentos críticos en el buscador del programa).

BocaDePez
BocaDePez

Cito de la fuente de la noticia:

"It seems that WhatsApp has made a change in their authentication system. I am not sure what they exactly changed, but if I find out more I will let you all know. My method no longer works."

Parece que han trabajado rápido para "solucionar" este agujero.

davidsm90

Yo por protección siempre desactivo que cualquier aplicación android lea el imei y demás datos (numero de telefono modelo etc), también destacar que el 80% de aplicaciones de play android piden acceso al estado del teléfono y con esta aplicación implica que el creador sepa nuestro numero e imei ... Sinceramente una cagada monumental y cualquiera con conocimientos nos suplantaria..

Y una pequeña duda... en un tablet es imposible instalar whatsapp pero impidiendo que la aplicación lea el estado no podía detectar que es un tablet pero tampoco permitiría el aceso al IMEi... entonces cual seria la contraseña ??

🗨️ 1
BocaDePez
BocaDePez

Dices que es imposible instalar What's app en un tablet ?? creo que no te has informado adecuadamente.

Basta con restaurar una copia de seguridad de un móvil android con what's app instalado y activado, en un tablet y tendrás what's app funcionando.

BocaDePez
BocaDePez

Hola,

Una duda sobre whatsapp

Se que en un iphone se puede tener whatsapp sin insertar tarjeta sim. Solo cogiendo wifi. Mandas introduces codigo activacion se activa y no necesitas la sim.

La pregunta es???

Si el codigo de activacion de whats va vinculado al imei del celular, entiendo que siempre es la misma clave en el mismo movil actives el numero que actives.

Si activo la cuenta de un whatsapp que ya esta activo en otro android....!! Le saldra algun aviso??? De que esta instalado en otro dispositivo????
Y si chafardeo mientras se que no lo esta usando????

Muchas gracias por la ayuda...!!!

BocaDePez
BocaDePez

Hola!

Tengo una duda. Sospecho que alguien ha podido coger mi IMEI y está utilizándolo para ver mis whatsapps. Quería saber si cambiando el IMEI de mi teléfono (Ya he cambiado el IMEI) evitaría que pudieran seguir haciéndolo o no sirve de nada cambiarlo ahora que ya tienen el IMEI anterior de mi teléfono. Gracias!

🗨️ 2
BocaDePez
BocaDePez

No te preocupes.

BocaDePez
BocaDePez

mira puedes desde el menu de configuraciones dar de baja tu cuenta para despues desinstalar whatsapp, despues cambias el imei para despues volver a instalar whatsapp y registrarte y eso anula las demas cuentas vinculadas ademas y si kieres extra de seguridad tal vez kien entro a tu whatsapp tiene acceso a tu movil asi que puedes despues de cancelar tu cuenta darla de alta en otro equipo con tu mismo sistema operativo android o simbian no se pero el mismo con targeta microsd hacer un respaldo desde el nuevo ekipo y asi sacas la targeta regresas a tu ekipo se la pones accedes a tu cuenta y asi con el respaldo te accesa sin confirmar y asi ya aun que saquen tu imei ya no van a poder x q lo hiciste con otro imei ok???

BocaDePez
BocaDePez

Tengo la misma duda sospecho que alguien tomo mi telefono y copio algunas cosas y clono de alguna manera mi whatsapp, hay alguna manera de detener esto?

Saludos

BocaDePez
BocaDePez

chicos...yo no entiendo como hacer todo esto...tengo movistar y me pide el codigo,ya consegui el imei de mi telefono y tiene 15 numeros...q mas hago??ayuuuudaaaaaa :) jaja