Android lento trucos

Todos podemos ser víctimas. Ejemplo: SanMail

¿Cuantas veces hemos dicho que el software libre es la mejor y quizá la única vía de mantener la soberanía tecnológica, la seguridad y la privacidad de nuestros datos?

Algunos no nos cansamos de repetirlo, pero muchas personas todavía creen que están a salvo, que no hay forma de que puedan ser atacadas, o que simplemente no son lo suficientemente interesantes y/o importantes como para ser victimas.

Hoy quiero hablarles sobre una aplicación para Android hecha en Cuba, llamada SanMail (http://sanmail.cubava.cu/). La cual, según acabamos de descubrir, comparte información personal, sin advertencia previa y sin el consentimiento del usuario.

En la descripción de dicha aplicación podemos leer:

En su desarrollo se pone énfasis en la libertad, seguridad y privacidad de los datos enviados, recibidos o guardados por el usuario

Sin embargo, dicha aplicación envía de forma oculta información vía correo electrónico (Incluyendo el nombre y la dirección de correo electrónico del usuario) a la dirección sanmail.apk@gmail.com tal como podemos ver en la siguiente traza:

Un análisis mas profundo llevado a cabo con el código de la aplicación descompilado, reveló el bloque de código que se encarga de enviar dicha información:

Como dato curioso, no nos fue posible reproducir el comportamiento desde máquinas virtuales, la aplicación solamente envió el correo con la información desde dispositivos reales.

¿Cómo reproducir dicho comportamiento?

Para reproducir el comportamiento y observar qué información intenta compartir la aplicación desde nuestro móvil, podemos correr un servidor SMTP local. La forma mas sencilla es usar en nuestra PC el que incluye Python (instalado en casi todas las distribuciones de GNU/Linux) y correrlo desde la terminal:

python -m smtpd -n -c DebuggingServer 0.0.0.0:2525

Una vez hecho esto, debemos instalar la última versión de la aplicación y conectar el móvil a la misma red de la PC donde tenemos corriendo nuestro servidor SMTP.

Al abrir la aplicación por primera vez, nos pedirá configurar nuestro correo electrónico, y como servidor de salida debemos señalar el servidor SMTP que acabamos de iniciar (fijarse en el comando, que acabamos de iniciarlo en el puerto 2525). Para éste en específico podemos decirle que no use usuario y contraseña.

Una vez terminados los pasos de configuración, si todo fue bien, veremos como en la terminal, aparecerá un nuevo correo electrónico, enviado sin que el usuario lo halla solicitado y sin advertencia previa conteniendo información personal que la aplicación no debería enviar a los desarrolladores.

¿Es posible que otras aplicaciones hagan ésto?

Desafortunadamente otros casos como éste (o incluso peores) son completamente posibles en el entorno Cubano, ya que la mayoría de las aplicaciones que se comparten son privativas y no se obtienen de fuentes confiables, lo que facilita que puedan contener funcionalidades de este tipo sin ser detectadas, o incluso que terceras personas modifiquen aplicaciones legítimas y las distribuyan con objetivos malintencionados.

¿Te resultó interesante? Compártelo ...



Cesar

Publicado por Cesar

Forma parte de GUTL desde el 16 septiembre, 2013.

Este artículo tiene 25 comentarios

  1. Con la situación y necesidad del cubano, cada aplicación de producción nacional, es un posible riesgo, hay que tener cuidado con ellas.

    • Bueno, tampoco generalicemos, existen buena cantidad de aplicaciones realizadas en Cuba que son legítimas, algunas libres y de código abierto.

      Saludos.

  2. Ahora vamos al blog en cuestion y le preguntamos si existe alguna razon viable para que su app haga estas acciones y ahi nos quedamos…. en pleno limbo esperando respuestas que nunca llegan.

  3. ¡Que falta de respeto! por eso no uso ninguna app «rara» de esas aunque el desarrollador te diga «no hace nada». Buen artículo @Cesar, esperamos mas de ese tipo 😉

  4. Pues si!, llegan y respondo.
    y aquí mismo les respondo.

    La NECESIDAD del correo y el num de cell parte del día que decidí que pondría algunas funciones de PREMIO; las menos; para el que contribuyera y de alguna manera me ayudaba a continuar con el desarrollo, de ahí con su num de cell poder enviar el código de activación para el usuario de la aplicación y de paso saber que tanto se usaba mi aplicación, así me daba nuevos ánimos para continuar con su desarrollo.

    • Bueno, ¿Se ha puesto a pensar, que quizá al usuario no le interesa que usted tenga su numero de teléfono y su correo electrónico?. Quizá tampoco le interesa que usted le escriba o lo llame o lo premie.
      Los números de teléfono y las direcciones de correo se venden el el mercado negro, ¿quién me garantiza que usted no esta vendiendo mis datos, o en el caso de no tener malas intenciones, que los esté almacenando de forma segura?
      Es posible que usted no tenga malas intenciones y esté tratando los datos obtenidos de manera responsable, pero si no fuera así, su comentario seria exactamente el mismo. ¿Me entiende?
      Yo como usuario lo único que sé es que su aplicación está enviando información privada de forma oculta y sin mi consentimiento.
      Y por supuesto, tengo el deber de informarle a los demás.

      Saludos.

    • Es que vemos estas cosas todos los días con Google, Facebook, etc.. y no aprendemos. Si vas a recopilar datos de los usuarios:

      1- Se informa claramente que lo vas a hacer.
      2- Se le da la opción de que escoja si quiere o no enviar esos datos.

      De lo contrario, lo único que se crea es desconfianza, aún cuando lo hagas con fines lícitos.

  5. En lo que si peco es en el NO informar al usuario de el envio de esos 2 datos nada mas.
    Lo cual ya estaba implementando para la próxima versión

    • Ese «pecado» crea una gran desconfianza en la mayoria de los consumidores del producto porque aparencen dudas como «si eso fue lo que yo encontré… ¿Que mas tendrá escondido?» y ahi mismo… adios consumidor.

    • En mi opinión no solo peca en eso. Para tener un registro de los usuarios puede usar un hash. Tampoco se me ocurre una forma de contribuir con su aplicación sin ponerme en contacto con usted, así que de esa forma puede obtener los datos de los colaboradores sin tener que recopilar la información de todos los usuarios.

      Saludos.

  6. No se que tanto pelean parecen niños chiquitos
    Yo uso la aplicación y no me parece nada mal, aun lo que digan ustedes y le envio cuando se detiene el informe de error
    Dicen que almacena mi numero y correo
    Pero y cubamessenger ? Por poner un ejemplo , la use y cuando me di cuenta que enviaba mis correos a otro correo para luego entregarlos a quien yo enviaba. Ellos si almacenan toda la información del país. Y son desarrolladores que no son de la isla

    • Hola Eva, el descontento es debido a que la aplicación no respeta la privacidad de sus usuarios, si busca el termino en Google va a encontrar un montón de entradas con los peligros que esto acarrea (en algunos países los desarrolladores pueden ser penados incluso con cárcel por no cumplir con ello).

      Nunca he usado la aplicación cubamessenger (personalmente creo que es un gasto de $ innecesario) pero si hace lo que dices, deberías dejar de usarla y advertir a los demás con pruebas de ello.

      Saludos.

  7. Hola @Cesar, muy buen artículo este que acabas de publicar. Una alerta temprana para no pecar de ilusos. Por parte de @San Juan, creeme que lo acabas de hacer es crear desconcierto y desconfianza entre los posibles y futuros usuarios de tu aplicación. Yo como usuario no deseo que mi número de teléfono, que ya está expuesto por otras aplicaciones sin mi consentimiento, ni mi correo electrónico sean publicos y mucho menos por una puerta trasera del propio programa. Eso si no lo sabes, @San Juan, esta penado por la tan obsoleta resolución 127/2007 en su articulo 84: «…está autorizada para explorar o monitorear las redes públicas de transmisión de datos en busca de … información sobre los usuarios legales de las mismas» Saludos

  8. Saludos a todos los de blok primero tengo algo que decir me parece que han formado espabiento con un desarrolador que lo unico que ha hecho es hace un apk (que por cierto yo la uso ) para hacernos mas facil la comunicacion con nuestros correos electronico me parece demaciado excecivo el que creo esta publicacion acusando a SANMEIL y por tanto al desarrollador de ladron creo que son palabras fuertes y muyn serias lo unico que va al desarrollador es numero de telefono y es una funcion creada para marle confirmacion y el codigo en caso de que quieras comprar aportar al desarrollador NDAMAS no es un supuesta secta de recoleccion de daaaaaaaaaaaaaaaaaaoni nada por el estilo GOOGLE lo hace sabe mas de ti y NADIE DICE NADA y TODO elmundo se hace cuenta no obstante creo yo que cunado alg n te gusta de un producto te quejas ESPERAS la respuesta y si no es satisfactoria formas espaviento de lo contrario no lo hagas antes señor CESAR con todo el respeto que usted se merece el creaoriginal claro no creo que escrivir esas cosas de la manera que lo hiso fuera correcto, tenga profecionalidad y respeto por el trabajo de otros

    • Yo me uno al comentario de Miguel CUza y además quien quiera usar la app por las ventajas o desventajas que tiene esta en su derecho y el que no pues que siga cuidando sus datos y Listo!!!

  9. Yo no se mucho de eso, pero me parece que si hace eso sin q el cliente sepa esta MAL.Pq quiere los datos?,para que los quiere?Y todo sin q uno lo sepa!Señores eso no es correcto y si lo hacen otras igual esta MAL.Eso no se hace.Estoy seguro que si el advierte al pricipio lo q va a hacer su aplicacion nadie la va a usar, si no que pruebe para que vea que se acaban las donaciones

  10. Hola todos
    Ya está corregido este error. Ya se muestra el cartelio en la nueva versión, que se había quedado colgado algunas versiones atrás, cuando la aplicación era solo de dominio familiar. No es fácil tener el Android Studio compilando durante 2 a 5 min en sus mejores tiempos y luego acordarte cuando compila de todo lo que querías verificar. Se le agregó la funcionalidad opcional de envío de estos datos por SMS para casos, por ejemplo, donde es imperioso informar al desarrollador.
    A los usuarios disculpen las molestias que esto le haya podido causar.
    A Gutl gracias por el feedback

Los comentarios están cerrados.