WhatsApp: il database dei messaggi è facilmente accessibile da applicazioni di terze parti

12 marzo 2014104 commenti
Sicuramente non molti conosceranno l’ingegnere Bas Bosschert, ma sicuramente dopo il seguente articolo molti utenti ricorderanno il suo nome. Sul proprio sito ufficiale, Bosschert ha mostrato come sia semplice aver accesso al database dei messaggi di WhatsApp tramite una semplice applicazione, dimostrando ancora una volta la vulnerabilità del sistema del celebre servizio di messaggistica istantanea.

Accedere alle chat di WhatsApp è molto semplice e non servono permessi di root o altre procedure molto complicate, inoltre tutto ciò può essere effettuato senza che l’utente ne venga a conoscenza.

Ecco un’immagine che cerca di spiegarne la procedura:

Schermata-2014-03-12-alle-12.24.05-620x350

L’applicazione di WhatsApp salva il proprio database criptato sulla SD interna del nostro device Android, semplicemente nella cartella /WhatsApp/Databases/. Perciò è molto semplice poter prelevare questo file con l’aiuto di una semplice applicazione che abbia i permessi di accedere in lettura alla SD Card.

Non appena prelevato il database decodificarlo per poter aver accesso a tutte le chat non è molto difficile e l’articolo di Bosschert ci spiega anche come farlo.

Quest’informazione è certamente allarmante, infatti molti utenti avranno sul proprio device applicazioni che hanno libero accesso alla lettura della SD Card, perciò le conversazioni possono essere facilmente estrarre e violate.

Detto ciò, adesso non resta che sperare in un ulteriore miglioramento della privacy della celebre applicazione, nonostante nell’ultimo update sia stata introdotta qualche piccola novità.

 

  • Pingback: WhatsApp: il database dei messaggi è facilmente accessibile da applicazioni di terze parti | News Novità Notizie Trita Web()

  • Pingback: WhatsApp: il database dei messaggi è facilmente accessibile da applicazioni di terze parti - WikiFeed()

  • Flymone

    Azzo preoccupante!!

  • goldenboy

    “Detto ciò, adesso non resta che sperare in un ulteriore miglioramento della privacy della celebre applicazione”
    Oppure che android abbia permessi più resitrittivi su cosa un’app può o non può fare.

    Detto questo, c’è gente che schiaffa la sua vita con tanto di foto su faccialibro, non avrà problemi a farsela leggere da qualche app su whatsapp

    • zidagar

      Se sono dei dementi/senesbattonodegliutenti cosa c’entra Android?
      Hanno salvato i dati in “External storage” che per design è accessibile a tutte le app che hanno come permesso “android.permission.WRITE_EXTERNAL_STORAGE”.
      Questi dati rimangono li anche dopo la disinstallazione, utile nel caso in cui reinstalli l’app.
      Ovviamente sei TU utente che decidi o no di installare un’app che ha tale permesso.

      Detto ciò, se volevano fare le cose più sicure bastava mettere i dati in “Internal storage” che secondo le specifiche Android è spazio privato dell’applicazione dove solo lei può accederci ma che viene cancellata alla disinstallazione dell’app.

      • DevastatorTNT

        Hanno salvato i dati nell’sdcard, che è una cosa ottima, poiché non è intaccata da eventuali wipe dei dati dell’applicazione fatti accidentalmente dall’utente

        • http://www.mariobonofiglio.it/ Mario Bonofiglio

          Certo ma bastava effettuare un backup criptato su server per i messaggi.

        • zidagar

          “Ho lasciato la porta di casa aperta che è un ottimo modo per quando perdo le chiavi” -.-‘

          • DevastatorTNT

            Ammazza che paragoni… Non usare whatsapp, se ti dà così fastidio. Ricorda che il solo modo per prendere le cose dall’sdcard è avere un’app installata che funga da malware (come il codice nell’articolo), quindi, usando il tuo paragone, non lasci la porta aperta, ma dai te le chiavi ai ladri. A questo punto la colpa è tua

          • zidagar

            Dove ho detto che mi da così fastidio Whatsapp? Era per fare un paragone a quello che hai detto.
            Ciò non toglie che le cose potevano essere fatte in modo diverso, la storia del wipe è solo un compromesso ridicolo secondo me.

            Hanno avuto l’accortezza di criptare i vari db (il fatto che siano bucabili è una cosa che va al di fuori di Android ma è un problema di Whatsapp) ma li hanno resi accessibili ad altre app mettendoli nella sdcard. È una situazione comunque non sicura, tutto qua, a prescindere dal fatto che sei tu a installare o no un’app che ha accesso alla tua sdcard.

            Ma tu sai sul serio cosa fanno tutte le bellissime app closed source che hanno accesso alla sdcard? OK fidarsi, però…

          • DevastatorTNT

            Allora non puoi nemmeno salvarci le tue foto, i tuoi documenti, nella sdcard, per lo stesso motivo… Comunque, esistono le app ops per revocare i permessi

          • zidagar

            Esatto, tutti i dati sono accessibili per design, sta all’utente se scegliere di installare un’app piuttosto che un’altra.
            Capisco e comprendo la possibilità di negare alcuni permessi ad alcune app ma vorrei sottolineare che se non ti va bene una cosa di quell’app ne parli allo sviluppatore, se lo sviluppatore non vuole fare una modifica (abilita/disabilita accesso a funzione X) puoi chiedere che rilasci il codice e si forki il progetto… OPS, la maggior parte delle app su Android sono closed source quindi non ci fai nulla.

            Lo so è che è un caso limite e anche io sono d’accordo sulla possibilità di limitare l’accesso a determinate funzioni a modi firewall per le varie app però c’è da dire che se un’app non fa quello che vuoi forse è meglio non usarla, no? Tutto qua…

          • DevastatorTNT

            Se un’app serve purtroppo te la fai andare bene. Per la grafica e lo stato online ho risolto usando whatsapp+, in ‘sta cosa non vedo nessun male… Poi vabbé, ognuno ha i propri punti di vista e le proprie esigenze

      • http://www.mariobonofiglio.it/ Mario Bonofiglio

        Che del resto è anche un problema relativo alla gestione dei file temporanei o ai media condivisi che hanno risolto solo di recente.

    • Simone

      Credo sia più un problema dell utente, che al momento di installare l app non controlla i permessi che richiede. Android è abbastanza specifico sui permessi.

      • olè

        ma perchè tutte le app di android devono avere i permessi per il gps, per la rubrica ecc ecc? e soprattutto almeno che sia dia la possibilità di accettare o no determinati permessi non solo prenderli in blocco

        • Simone

          Non è android che richiede il permesso.
          Lo sviluppatore quando deve utilizzare chiamate che non sono comuni, deve essere autorizzato, quindi deve annunciare l utilizzo di tali chiamate, per fare questo, nel codice intesta appunto per esempio che usera il gps, la rubrica etcetc, quando intesta tali permessi, può si utilizzare le chiamate, ma sarà in chiaro per l utente perchè nella schermata di installazione verrà dichiarato.
          Sotto questo punto di vista Android è chiarissimo.
          L utente d altra parte ha imparato a non controllare nemmeno i permessi, ma la maggior parte delle app gratis, scaricano info su rubrica, sms, agenda etcetc per vendere le informazioni.
          La colpa però non mi sento di darla ad Android, ma all utente che sa che l app può accedere alla rubrica e se ne sbatte.

          • geo

            xprivacy docet!

          • olè

            embè non pensi che sia anche colpa di android? o meglio di google? perchè non si può avere un cavolo di filtro per le app, del tipo è un gioco a cosa serve l’accesso alla rubrica agli sms? a nulla ergo se chiedi questi permessi non puoi pubblicare la tua app. poi è ovvio che uno non legga i permessi tanto che li leggi a fare? o li accetti o non usi l’app questo è più un ricatto che una “proposta” (ovvio che questo non avviene solo su android, basti pensare che è così anche per il contratto dell’energia elettrica…) comunque basterebbe consentire all’utente la libertà di scelta se rilasciare determinati permessi o no, molto semplice

          • Simone

            Se parli così è perchè non hai mai programmato un app.
            Prima di tutto non puoi filtrare le chiamate, perchè non sai a chi serviranno, banalmente la rubrica può servire per farti giocare con i tuoi amici, o l accesso agli sms serve a far imparare il tuo vocabolario alla tastiera.
            Non è un ricatto, è una tua semplice decisione, da quando esci la mattina in mezzo alla strada sei sommerso da decisioni. E’ come dire che se vedi la tv devi avere la possibilità di filtrare la pubblicità, invece quello che puoi fare è cambiare canale, mica è un ricatto.
            Una persona ti offre un servizio, e tu hai la libera scelta di scegliere.
            Il ricatto è tutt altra cosa, è proprio quando questa scelta non ce l hai.

          • olè

            ovvio non sono un programmatore, ma nello stesso momento in cui tu dici queste cose ti smentisci, molto semplicemente se io volessi quell app ma non volessi che la tastiera imparasse dagli sms? questa è una scelta, quella che invece mi offrono è un ricatto perchè è o così o nada, e non ci vuole una scienza per capire queste cose.

    • olè

      ma infatti non capisco per quale diavolo di motivo anche i giochi debbano avere accesso alla mia rubrica (è solo un esempio) come non capisco perchè io non possa limitare questi permessi

      • gdjsksj

        si puo na solo con il root

      • DevastatorTNT

        Li puoi limitare tramite le app ops, che su 4.3 dovrebbero essere di default, cerca su play store app ops starter ;)

        • Giovanni Ossola

          Oppure xprivacy, che non toglie i permessi ma da dati fittizi all’applicazione che li chiede. Imho molto più dettagliato di app ops

          • DevastatorTNT

            Ma non root-free

          • Giovanni Ossola

            Vero, ma secondo me il root è la prima cosa da fare su un dispositivo android :-)

    • gdjsksj

      è colpa di whatsapp che salva i messaggi sull sd, sono loro gli stupidi, cosa centra android??

  • little lake

    Internet non è mai stato e nn sarà mai sicuro!!!

    • mail9000it

      Guarda che l’articolo si riferisce a un file presente sul telefono e non a internet.

      • little lake

        Si ma i messaggi nn riesci a violarli mentre whatsapp si

  • Pingback: WhatsApp: il database dei messaggi è facilmente accessibile da applicazioni di terze parti - HostingPost.itHostingPost.it()

  • Marcello

    Basta smettere di utilizzare un programma obsoleto e francamente sopravvalutato. Line tutta la vita, anche da PC, e vai

    • Francesco Pozzobon

      sì, mi piace chattare da solo
      :P

      • Marcello

        E allora adeguati alla massa e continuate a lamentarvi :)

        • Francesco Pozzobon

          io di certo non mi lamento, anzi, lo uso sempre, l’ho pagato senza nessun problema perchè ho ritenuto il costo di 0.89 € adeguato.

          Smettila tu di rompere con questi messaggi per dire alla gente di usare Line solo perchè sei da solo e oramai sei stanco di chattare da solo e videochiamarti per fare sesso telefonico.

          • Marcello

            Grazie per gli insulti gratuiti, ad ogni modo ho solo detto di usare altre App. E parlo con tutti, o forse trovate difficile andate sullo Store e testare un altro programma? Bah, io scrivo anche con amici all’estero, basta semplicemente comunicarlo ad altri e fine. Che vi devo dire? Mica mi paga line o viber o chi volete voi. Buone conversazioni ed insulti gratuiti, o a 0,89

        • olè

          ahahahha ma ti rendi conto dell’assurdità della tua risposta? un app del genere DIPENDE dalle persone che la usano se i tuoi amici usano line allora usalo ma siccome la maggioranza della popolazione mondiale usa whatsapp io continuerò ad usare whatsapp

          • Marcello

            Ok, in effetti è un pò incoerente come cosa. Ma non ho fatto altro che dire alle 10 – 20 persone che mi interessano che io utilizzo line, il resto l’hanno fatto loro andando sul loro market ed installare gratuitamente una app. Nulla di difficile. Molti di loro mi hanno anche detto che si trovano meglio con line. poi lo puoi usare da pc, fare telefonate… cioè esistono app un attimo più fornite e trovo normale vengano utilizzate pian piano sempre più. ma se uno per partito preso manco prova, non è un mio problema. What’sapp ce l’ho solo che non la uso. se uno mi scrive gli rispondo, ma se diventa una discussione importante dico di spostarsi su altre app, le trove semplicemente migliori, più complete e gratuite. tutto qui. ;)

          • olè

            ma io mica non uso altre app per partito preso, anzi però mi scoccia enormemente dover aver più app che fanno la stessa cosa, quindi molto semplicemente continuo ad usare whatsapp poi se si cambia app la cambierò, tutto qua. non sono però d’accordo quando si dice che line telegram o vattelappesca sono migliori (bada non dico a livello tecnico) perchè lìapp migliore in questo caso, non è quella fatta meglio (apunto) ma quella con più utenti, ergo la migliore è whatsapp

          • Marcello

            Condivido :) Diciamo che allora sono fortunato ad avere amici che usano app alternative e ne godo i frutti. ;)

  • Alberto Cardellino

    a chi interesserebbero le mie conversazioni?

    • Francesco Pozzobon

      a me no

    • Al3xI98O

      A molti perchè un buon numero invia dati utili… tipo il PIN del bancomat alla moglie :)

      Per me invece le mie possono anche leggersele…

      PS: sicuri che decriptarle sia facile?

      • ciarizard
      • celapossofa .

        si ma dopo che hai il pin del bancomat devi avere il bancomat …
        oppure clonarlo..e poi devi cercare la conversazione dove gli dice del pin
        oppure fregare il telefono alla moglie e scrivere un mes al marito con scritto che non si ricorda il pin….
        mmmm ma non fai prima a puntargli un coltello e dirgli: ehi putt…. dammi i soldi..
        non ce so più i ladri de na volta

        • Al3xI98O

          Sì io preferisco la via diretta :)

  • vintage
  • Pingback: WhatsApp: il database dei messaggi è facilmente accessibile da applicazioni di terze parti | Crazyworlds()

  • Bolfio

    Per iPhone dove lo salva invece?

    • axe

      Guarda dentro il morso sul logo della mela…

  • kemos

    È arrivato il momento di smetterla, di mandare le mie foto nudo.

    • didach

      Nudooo… mamma mia!!!!

    • Orecchia gommata

      Nooooo ti prego non smettere

    • Francesco Pozzobon

      per fortuna non son capace a estrapolare il database del tuo telefono!
      XD

      • Giardiniere Willy

        Certo. Lo sappiamo che ci stai provando a farlo appena lo hai saputo ;)

        • Francesco Pozzobon

          O_O

          Come fai a saperlo? hai guardato nel mio database di uozzap?????

          • Giardiniere Willy

            Ma ti pare che un professionista riveli le sue fonti? Che pivello! Io comunque uso mezzi alternativi ú.ú Tu continua pure a usare Facebook e a scaricare giochini dal play store mi raccomando. Che l’NSA sia con te!

          • giuseppe

            Giardiniere ho bisogno di aiuto devo entrare assolutamente in un whotsApp

          • Gio Gia

            Giardiniere Willy ho bisogno del tuo aiutò

  • ciarizard

    *SOLUZIONE* Scaricate Lucky Patcher e negate i permessi di scrivere sulla sd da parte delle app di cui non vi fidate, ovviamente avete bisogno del root

    • Ing.Gae

      oppure basta NON installare app di cui non vi fidate

    • Francarso da procida

      di LEGGERE da sd

      • ciarizard

        Giusto, scusatemi

  • Seby

    Esiste qualche applicazione per vedere quali permessi (pericolosi per la privacy) hanno le mie applicazioni?

  • Pingback: WhatsApp: il database dei messaggi è facilmente accessibile da applicazioni di terze parti | mobilemakers.org()

  • Ivn

    Applicazioni di messaggistica (whatsapp, cloudmagic, contacts provider…) e applicazioni come calendar, notepad e altre salvano dei database all’interno della memoria a cui potete accedere tramite programmi come rootexplorer dalla cartella data/data/tuaapplicazione/databases (in questo caso servono i permessi di root)…dentro questa cartella ci sono dei contenitori di dati in formato *.db. Queste app si basano esclusivamente sui db (altrimenti come fai a gestire questi dati? risposta: con i database! XD). Il fatto che sono dati di facile accesso da parte di altre app è una questione nota. Il vero problema è la mancanza di controllo da parte di google delle app che vengono pubblicate sul playstore. Questo mi fa pensare che i tester o non provano l’applicazione o cmq la provano per un periodo di tempo che non è sufficente per evidenziare e scovare le parti di codice “malevole”.

  • icaro

    santa pazienza adesso sapranno tutti quante volte mangio al giorno

  • checco

    ma credo che alla fine mettere i dati delle chat su sd sia un risparmio di memoria per il device solo che cosi non va bene

  • Marck

    Stavo giusto valutando l’idea di comprarmi un piccione viaggiatore per difendere la mia privacy (^_-)

    • gigi

      è un pò più lento di WhatsApp ma va bene lo stesso

    • Simone

      Si però poi il piccione sa i fatti tuoi…

  • Il Risolutore

    E se uno non ha la sd?

    • Davide Ferrari

      memoria interna normale (sdCard0)

  • Ajsjok

    Il problema non è che non esistono servizi migliori Però questa è la mia situazione :
    120 contatti WhatsApp
    52 viber
    22 line
    8 telegram

    Purtroppo continuerò a usare il primo fino a quando non ci sarà un uguaglianza..
    Per le vodeochiamate vado di hangout

    • JulesX

      Secondo te ci interessava sapere quanti contatti hai nei rispettivi servizi di messaging?
      Non interessa a nessuno cosa e a chi scrivi, figurati quanto hai scritto!
      Bye

      • Ajsjok

        Se non ti interessa non leggere il mio commento evidenziava il numero di gente approssimativo che usa quei servizi su un tot
        Ciucciami le palle invece di insultare

        • Steve

          Sfigato! Ha ragione Jules X. Ma chi se ne frega!!!!

  • WONDERBRAun

    Io non capisco dove sia il problema… Con gli SMS è esattamente la stessa cosa… anzi ben venga un applicazione di terze parti che permetta il cloud saving dei messaggi di whatsapp. Secondo me al giorno d’oggi sono tutti un po’ troppo fissati per la loro privacy, ma vi siete mai posti il problema che a nessuno frega nulla delle vostre conversazioni?

  • Nicola Redbeard Poli

    E adesso come faccio a trafficare in bombe atomiche ripiene di organi umani ripieni di droga fatta con vecchie bombe atomiche?

  • Pingback: WhatsApp: il database dei messaggi è facilmente accessibile da applicazioni di terze parti | Notizie, guide e news quotidiane!()

  • Simo123

    Si tratta del file dove vi è memorizzato il backup delle conversazioni di whatsapp. Lo si può creare in qualunque momento manualmente, facendo (una volta aperto whatsapp) tasto menù/Chat/Backup delle conversazioni e a questo punto verrà creato il backup. a meno che non si debba fare un hard reset, oppure si ha la necessità di cancellare i dati di Whatsapp, non vedo perché fare il backup.

  • Francesco

    Vabbè ragazzi ma si sapeva… come vorreste dirmi, ad esempio, che le nostre conversazioni su facebook non sono monitorate e accessibili a servizi di terze parti?? Suvvia, non siate ingenui

  • Andrea

    Se qualcuno prende in mano il mio telefono non gli basta aprire whatsapp e leggere, senza dover usare altri programmi che vadano a leggere i file?

  • Sergio

    Oooops
    Avevo appena scritto a mia moglie di calare la pasta…..
    Ora lo sapranno in tutti i continenti e lo trasmetteranno ai satelliti su Marte ….
    Devo stare piu’ attento!
    ;)

  • gigi

    e sticazzi possono leggere tutte le chat che vogliono non ci troveranno i codici di lancio di una bomba a protoni, ma solo un mucchio di cazzate inutili e qualche video deficente

  • obiP6

    Io sto facendo passare pian piano tutti i miei amici su telegram dopo l acquisto di fb…..

  • Miky

    È da qnd è uscito whatsapp che so questa cosa e appunto con questo metodo ho sgamato la mia ex tradirmi :)

  • pa

    Puttanate sapete solo dire

  • Luca Zanette

    al quaeda dovrà trovare un’altra applicazione.

  • Pingback: WhatsApp: i problemi della sicurezza su Android sarebbero sopravvalutati – Androidiani | Androidiani.com()

  • Pingback: WhatsApp: i problemi della sicurezza su Android sarebbero sopravvalutati | Notizie, guide e news quotidiane!()

  • Pingback: WhatsApp: i problemi della sicurezza su Android sarebbero sopravvalutati - WikiFeed()

  • Pingback: WhatsApp: i problemi della sicurezza su Android sarebbero sopravvalutati | Alcoolico()

  • Pingback: WhatsApp: i problemi della sicurezza su Android sarebbero sopravvalutati | Crazyworlds()

  • Pingback: WhatsApp: i problemi della sicurezza su Android sarebbero sopravvalutati | mobilemakers.org()

  • Pingback: WhatsApp: i problemi della sicurezza su Android sarebbero sopravvalutati - HostingPost.itHostingPost.it()

  • Pingback: Whatsapp cripta il database dei messaggi sulla scheda sd!()

  • Pingback: Whatsapp cripta il database dei messaggi sulla scheda sd! - WikiFeed()

  • Pingback: Whatsapp cripta il database dei messaggi sulla scheda sd! | mobilemakers.org()

  • Pingback: Whatsapp cripta il database dei messaggi sulla scheda sd! - HostingPost.itHostingPost.it()

  • Pingback: Whatsapp cripta il database dei messaggi sulla scheda sd! | Alcoolico()

  • Mauro Luini

    RECUPERO PASSWORD

    di caselle e-mail,social network (facebook,badoo,MSN,Skype) e recupero

    tabulati telefonici WIND TIM VODAFONE H3G POSTEMOBILE con numeri in chiaro

    CONVERSAZIONI SMS e WHATSAPP INVIATI e RICEVUTI.

    cell 3888681200

  • Pingback: Come Vedere I Messaggi Di Whatsapp Di Un’altra Persona | Download Newest Whatsapp For()