viernes, 20 de abril de 2018

GBWhatsApp para Android ¿Es seguro?

Hoy os traigo mi primer post a C43S4RS hablando de una App alternativa a WhatsApp. 

Todos sabemos que WhatsApp tiene muy pocas opciones de personalización y privacidad, así que mucha gente busca Apps alternativas para poder sentirse a gusto cuando chatea con sus amigos. Si buscamos por Google, encontramos una App llamada GBWhatsApp (sustituta de WhatsApp Plus).
La gente que usa esta App, normalmente busca más personalización en su apariencia, ya que puedes modificar absolutamente todo, desde colores y formas de las fotos a tamaños de los archivos que se pueden enviar.

También tienen más opciones de privacidad como vemos en la siguiente imagen:

 


  1. Ocultar el estado Online sólo para los que reciben nuestros mensajes.
  2. Quitar los ticks azules, pero nosotros los seguimos viendo.
  3. Si nos mandan un mensaje, lo marca sólo como enviado.
  4. Ocultar el estado Escribiendo…
  5. No muestra cuando estamos grabando un audio.
  6. Ocultar el tick azul de haber escuchado el audio.
  7. Nos permite ver los estados de nuestros contactos sin que se den cuenta.
  8. Desactivar el borrado de mensajes.


A todo lo anterior le podemos sumar tener más caracteres para el estado, dos cuentas simultaneas en el mismo dispositivo, enviar archivos de vídeo de gran tamaño, ocultar las notificaciones, enviar libros electrónicos, establecer contraseñas para acceder a los chats, etc.

Como ya sabréis (o si no, os lo digo yo) WhatsApp guarda sus copias de las bases de datos en la tarjeta SD. Estas están cifradas y una de las formas de descifrarlas es buscando la Key en el dispositivo?


¿Y qué es esta key? Las bases de datos de WhatsApp están cifradas con el algoritmo Curve25519 (una curva elíptica que ofrece 128 bits de seguridad) y este archivo permite que leamos el contenido de éstas. Cada dispositivo tiene su propia Key, es decir, no podemos descifrar las bases de datos de otro dispositivo con ella.

Esta Key se suele encontrar rooteando el dispositivo. Hay que rootearlo para poder acceder a los archivos del sistema, ya que están protegidos y no nos dejarían entrar a ellos. Podemos rootearlo con:
  • Kingroot
  • PingPongRoot
  • iRoot
  • Framaroot
  • Towelroot

Entrando a los archivos del sistema con ADB como root (en concreto a la carpeta /data/data/com.whatsapp/files) y haciendo un adb pull /data/data/com.whatsapp/files/key más la carpeta en la que queremos guardarla, copiaremos la key a nuestro equipo.


Una vez extraída la Key, podremos ver las bases de datos con WhatsApp Viewer. 


Todo eso con el WhatsApp original. Sin embargo, con GBWhatsApp es otra historia, ya que la key se encuentra en la Tarjeta SD y no hace falta rootearlo ni entrar con ADB. Esto se debe a un permiso que solicitan que podemos ver en el fichero AndroidManifest.xml:

<uses-permission android:name=”android.permission.WRITE_EXTERNAL_STORAGE”/> 



Que este permiso te lo solicite una App es delicado ya que si se guarda información sensible en ficheros SQLite o xml debemos tener en cuenta que cualquier App del teléfono podrá acceder a esta información ya que la protección de directorio de aplicación del sistema Android (linux) se rompe.  Cabe destacar que en Android cada vez que instalamos una Apps se crea un usuario diferente, el cual es el único que puede acceder a la carpeta de aplicación, además del usuario root. 

Con este tipo de acceso se podrían extraer las bases de datos y su key para descifrarlas. Sería como tener una caja fuerte y escribir la combinación en la puerta. Otra cuestión a tener en cuenta es que al desinstalar la aplicación, los datos de la SD se mantienen, así que aun después de haberla eliminado tus bases de datos siguen corriendo el riesgo de ser robadas.

Este fallo de seguridad se debe a un fallo en el desarrollo de la App y no parece que vayan a corregirlo ya que han pasado unas cuantas actualizaciones y sigue en la misma memoria SD externa.

La App es bastante popular aún sin encontrarse en la Play Store, pero muchos usuarios siguen instalándola y no son conscientes de los problemas de seguridad que tiene.

Bueno pues me despido y espero que os sea útil el artículo.

Un saludo.

0 comentarios:

Publicar un comentario