Mediante este experimento ha quedado demostrado que cualquier aplicación que instalemos a la que concedamos permiso para acceder a la tarjeta de memoria puede leer las conversaciones de Whatsapp.
Como dicen en los comentarios, esto sólo funciona si tienes activada la opción de "backup automático" de los mensajes de WhatsApp.
Es un problema de seguridad de fácil solución: encriptar mejor estas bases de datos. Supongo que tarde o temprano lo harán.
Por lo demás, para los preocupados, los consejos de siempre:
- No instalar apps "dudosas" en el móvil. Nada de "fuentes externas" a Google Play, por supuesto. Y dentro de Google Play, sólo aplicaciones que se tenga la seguridad de que son seguras (mirar el número de descargas, los comentarios, etc.).
- Cuidado con las apps "sencillas" (linterna, colecciones de soniditos, chorradas en general). Frecuentemente son el tipo de apps aprovechadas para colar estas cosas. Nadie programa un Angry Birds o una superaplicación para luego meterle malware.
- Cuidado con los clones. Si os vais a bajar el Angry Birds tendrá cientos de millones de descargas. No os bajéis uno llamado Angry Berds que tenga 100.000 descargas.
- Revisar los permisos que pide cada aplicación. En línea con lo anterior, una app "linterna" no necesita derechos para leer o escribir en la SD.
- Y ya en temas más prácticos, cuidado con lo que escribís por WhatsApp o CUALQUIER sistema de mensajería. Nada de números de tarjeta, pins, etc.
Si ante cualquier app tenéis la más mínima duda, NO LA INSTALÉIS. No suele haber tanta urgencia para instalar una app. Una simple búsqueda en Google os sacará de dudas la mayor parte de las veces.
#1 : El estado del mercado de aplicaciones en Android es realmente acojonante. Tantos años de desarrollo para acabar teniendo los mismos problemas que el Windows de la peor época.
#2 En los Android puedes encriptar la memoria interna. En cuanto a la externa, en algunos (Galaxy S3, S4...) también puedes. Otros directamente no tienen memoria externa. Y siempre puedes usar apps para hacer eso mismo.
#5 no he dicho lo contrario. Sólo que todo eso venía en el sistema operativo como un básico, sin buscarte apps: teléfono, SD, user en tu pc, no en otro... Tengo iPhone (con iOs 7 no lo he probado aún) y cuando comprobé que con mi Ubuntu, sin hacer nada, sin poner programas (nada de nada) lo enchufaba por USB al pc y podía extraer fotos, canciones, etc (ya digo, sin cacharrear) me dio un patatús Parece que no la seguridad ha dejado de ser un tema preocupante en los teléfonos (desde el fabricante) y mira que un teléfono ya es como tu ordenador y se te puede perder en un segundo
Nota: "hecho en falta" con H en #2#madarfacker
#7 si te soy sincero no me acuerdo (lo he hecho varias veces con tal de no enchufar el itunes porque a veces no tenía un windows a mano y usarlo como pastilla usb me era más que suficiente y por mi propia seguridad le hecho ya varios formateos dejarlo con la rom que trae y actualizar lo actualizable, es un poco farragoso, pero prefiero poner los teléfonos a mano e instalar las 4 apps que uso que hacerlo desde un windows o el Mac)
Edit: iOs7. Enchufas al Ubunti (cable de datos bueno, el de Apple, no sólo uno que carga) y ahí tengo todas las fotos, ni contraseña ni nada
#1 Además de lo que has descrito recomendaría el antivirus Trustgo, te avisa de aplicaciones maliciosas. Lo uso desde hace algunos meses... Y en el primer escaneo del móvil de mi mujer, el Candy crust saga ( o como se diga) y similares me los indica como no seguros... Fijate que cosas... Un juego tan popular y tal...
#13 No. Con acceso físico no eres capaz de verlo. Te lo aseguro. Si quería ver lo que tenía en la SD, otra clave. No te encuentro la referencia exacta, pero la SD podías configurarla con AES 256 y sólo para se leída desde un ordenador si querías (no te servía otro con la clave que sabes, tenía formas de recuperarlo si el pc era otro, pero era complicado, creo que intervenía bb)
Aquí tienes un documento que explica la seguridad que usan hasta donde llega y las limitaciones. Claramente esta pensado para sysadmin a de empresas que configuran teléfonos a cientos o miles
Las referencias a la propia protección de la clave de contraseńas también tiene referencias. Ya digo, a mi bb, cuando lo vi me dejó muy alucinado (igual que la soltura de los procesadores en iPhone 4 cuando los vi funcionar, también lo digo) docs.blackberry.com/nl-nl/admin/deliverables/2158/BB_ENT_SOLN_STO_ES.p Ya te digo, cuando me pasé a iOs me quede un poco así
Como casi todos meten las fotos de la cámara en la SD, cualquier aplicación, a la que previamente le des permisos para acceder a la SD, puede ver tus fotos privadas.
Podrían obligar a formatear en ext4 las SD, y usar permisos más restrictivos. O hacerlo a nivel de API (que es lo que creo que están haciendo).
Dudo que iOS y Windows Phone estén libres de pecado también, ya que el backup en la nube lo hacen. Con permitir a la App entrar a OneDrive la puedes liar. Pero la tienda de Microsoft está muy limpia.
#1 "Nada de fuentes externas a Google Play" ¿De verdad? No puedes hablar en serio, si dentro del propio Google Play ha habido apps aún peor disfrazadas de un juego, realizando backup de tus conversaciones de WhatsApp sin tu consentimiento para luego venderlas a otros.
#1 Alternativas hay... el problema es el de siempre: en lo que se refiere a "redes sociales" pasa lo mismo que con los locales de ocio; la gente quiere estar donde está la gente!! y esto es lo que hace que aplicaciones como Whastapp (y antes Facebook y Twitter) se conviertan en una especie de "estándar".
Yo tengo Surespot, pero cada vez que alguien me quiere enviar un "mensajito" se empeñan en que sea por Whastapp...
A algunos amigos y conocidos he tenido que instalarles y configurarles yo el SureSpot!!
Y lo usamos. Pero creo que sigue pareciéndoles un snobismo es de tener que usar "otra cosa para chatear conmigo". Lo mismo les pasó hace años con el Facebook!! me resistí y nunca cree una cuenta con datos ni medio reales y por supuesto no lo uso. Ni muro ni ostias...
Hasta puedes recuperar las conversaciones borradas. A un amigo con sospechas le recuperé todas las conversaciones que tenía su novia con el querido, ella borraba todas las conversaciones pero se pueden sacar.
#22 Léete el resto del mail. Hay que seguir todos los consejos. Lo que tú has dicho es como si yo te digo "nunca cruces el semáforo en rojo para que no te atropellen" y tú me contestas "¿De verdad? No puedes hablar en serio, si el otro día vi como alguien cruzaba en verde y un coche se lo llevaba por delante.".
Es, si más no, curioso ver como os preocupa la seguridad de vuestras banales conversaciones de Whatsapp mientras que a Google le dais acceso completo a todos vuestros e-mails, agenda, contactos y passwords.
Ayer el mundillo parecía bastante agitado con este "descubrimiento" cuando esto lleva siendo conocido desde hace mas de una año y hasta juraría que todo el mundo lo sabía desde hace tiempo...
#17 te lo marca como no seguro por privacidad... creo recordad que pedia el juego acceso a tu agenda...
Ese antivirus es el mejor valorado de android el año pasado... por eso lo instale... y me ha detectado ciertos archivos malware que el avg no me habia detectado en un año.
los habra mejores... probablemente... pero de pago.
#1 luego me dicen que mi iphone es solo la manzanita... Esa lista que has hecho me ha parecido suficiente razon como para no comprar un android jamas, que sin vivir!
Lo que no entiendo es la manía de la gente de conservar las conversaciones de Whatsapp... yo las borro todas. El 99,9% son gilipolleces que tienen sentido en el momento pero pasados unos días no sirven para nada. Y el 0,1% restante no merece la pena conservarlo si a cambio tienes que quedarte con lo demás; además de que se puede enviar la conversación por mail y después borrarla. Yo no conservo ninguna conversación más de varios días (por si tengo algo que hacer, el mantenerla ahí me lo recuerda).
#17 En cuanto a lo que digo en (32), lo que pide el candy es acceso a tus cuentas, y el antivirus me recomienda desintalarlo porque no puede garantizar la seguridad de mi telefono.
#33 Es la dicotomía de siempre. Un sistema abierto, con más posibilidades pero más riesgos o uno más cerrado y limitado pero más seguro.
A igualdad de precio, podría haber dudas (en mi opinión). Ahora bien, teniendo en cuenta que ya encuentras móviles Android muy buenos por menos de 200 € y que el iPhone más barato vale 400€, no hay color.
#36 Claro, es que una de las características del Candy Crush es que utiliza la cuenta de Facebook para sincronizar tu partida entre dispositivos y para fomentar el "proselitismo" del juego lanzando notificaciones a tus amigos (con tu permiso, no es obligatorio). Sin eso no habrían llegado a los sopocientos millones de descargas que tienen.
Deberían sacar antivirus para la vida real: "Aviso AVG: No montes en este coche, no puedo garantizar que no te estamparás contra un camión en el próximo cruce."
#38 Pero que tenga sopocientas (como tu dices) descargas, no significa que sea seguro, hablando de privacidad, que es de lo que va el hilo.
Me sorprende que la gente se queje de whatsapp pero luego dejan que un juego tenga acceso a su cuenta de facebook.
De lo que avisa el antivirus (creo yo), no es que te vayan a timar, sino de que el programa que vas ha instalarte (sea juego u otra cosa), pide mas permisos de los que necesita... para los que no somos buenos en estas cosas biene bien una guia.
Que miedo da este servicio en los últimos tiempos. Hay que pensar en comenzar a cambiar de servicio de mensajería instantánea para estar totalmente a salvo de miradas furtivas.
Es que solo a un descerebrado se le ocurriría usar esa aplicación. ¿Y después qué más? ¿Hacerse el listo promoviendo el soft libre como un talibán? A más de uno creo que conozco así...
#1 ¿Se puede desactivar la copia de seguridad automática? Probablemente sea una dificultad mía, pero no he sido capaz de averiguar cómo (y sí, he trasteado con mi teléfono y ya le he preguntado al tito Google)
#33 Venía a decirte exactamente lo que ya te ha hecho notar #35. Conste que fui usuaria de iphone muchos años (si alguna vez los señores de la manzanita tienen a bien sacar algo remotamente parecido al 3GS me planteo el matrimonio de convenciencia con una operadora convencional otra vez... Aunque, la verdad, no he echado nada de menos en mi Nexus 5 excepto la facilidad de cambiar de teclado en dos clics en vez de tres), pero al César lo que es del César.
Una servidora cuando tiene que enviar comunicaciones importantes o información sensible utiliza el correo electrónico (y ahí es donde entra la verdad como un templo de #30).
#42 Je, pues no, no es dificultad tuya. Siempre había visto la opción y pensaba que se desactivaba de ahí, pero resulta que pulsando en "backup" haces un backup manual, pero no hay forma de desactivar el automático.
Corrijo lo dicho en #1, entonces. Afecta a todos los usuarios de WhatsApp en Android.
#29"Lo que tú has dicho es como si yo te digo "nunca cruces el semáforo en rojo para que no te atropellen" y tú me contestas "¿De verdad? No puedes hablar en serio, si el otro día vi como alguien cruzaba en verde y un coche se lo llevaba por delante."
No te quito razón en eso último, sé que la tienes toda. Pero aclaro que mi intención no es contradecirte, sino ser enfática en que aún siguiendo todos los consejos, dentro de Google Play existe tanto peligro como fuera y es saludable que el usuario esté advertido. ¡Que tengas feliz resto del día!
Otra recomendación para resguardar su seguridad al instalar apps es revisar SIEMPRE qué permisos nos pide esa aplicación. Por ejemplo, ¿por qué un juego debe tener acceso a leer mis mensajes de texto? Inmediatamente veo eso no lo instalo.
#20 exFAT es una solución más general para este tipo de memorias y se recomienda sobre NTFS o ext4. Es como FAT32, pero permite ficheros grandes, y tiene lógicamente el resto de desventajas de FAT32: menos seguridad, control y tolerancia a fallos.
Aún así es más ligero, rápido, durará algo más tu memoria (menos escrituras adicionales) al tener menos control (overhead) y será por lo general más compatible entre diferentes sistemas: Windows, Linux, Mediacenters, Smart TVs, etc...
También depende de donde vayas a usar la memoria SD o USB, claro, puede ser que sólo Linux, y con ext4 vas mejor, pero normalmente al ser memoria 'portatil' la usas entre sistemas más diferentes.
Es un problema de seguridad de fácil solución: encriptar mejor estas bases de datos. Supongo que tarde o temprano lo harán.
Por lo demás, para los preocupados, los consejos de siempre:
- No instalar apps "dudosas" en el móvil. Nada de "fuentes externas" a Google Play, por supuesto. Y dentro de Google Play, sólo aplicaciones que se tenga la seguridad de que son seguras (mirar el número de descargas, los comentarios, etc.).
- Cuidado con las apps "sencillas" (linterna, colecciones de soniditos, chorradas en general). Frecuentemente son el tipo de apps aprovechadas para colar estas cosas. Nadie programa un Angry Birds o una superaplicación para luego meterle malware.
- Cuidado con los clones. Si os vais a bajar el Angry Birds tendrá cientos de millones de descargas. No os bajéis uno llamado Angry Berds que tenga 100.000 descargas.
- Revisar los permisos que pide cada aplicación. En línea con lo anterior, una app "linterna" no necesita derechos para leer o escribir en la SD.
- Y ya en temas más prácticos, cuidado con lo que escribís por WhatsApp o CUALQUIER sistema de mensajería. Nada de números de tarjeta, pins, etc.
Si ante cualquier app tenéis la más mínima duda, NO LA INSTALÉIS. No suele haber tanta urgencia para instalar una app. Una simple búsqueda en Google os sacará de dudas la mayor parte de las veces.
Eso sí, a costa del rendimiento, por supuesto.
Nota: "hecho en falta" con H en #2 #madarfacker
En iOS creo que la encriptación viene integrada por hardware desde el iPhone 4. ¿Has probado a extraer fotos y canciones sin desbloquear el teléfono?
Edit: iOs7. Enchufas al Ubunti (cable de datos bueno, el de Apple, no sólo uno que carga) y ahí tengo todas las fotos, ni contraseña ni nada
#6 Siempre se ha dicho que la seguridad es inexistente si hay acceso físico.
Aquí tienes un documento que explica la seguridad que usan hasta donde llega y las limitaciones. Claramente esta pensado para sysadmin a de empresas que configuran teléfonos a cientos o miles
Las referencias a la propia protección de la clave de contraseńas también tiene referencias. Ya digo, a mi bb, cuando lo vi me dejó muy alucinado (igual que la soltura de los procesadores en iPhone 4 cuando los vi funcionar, también lo digo)
docs.blackberry.com/nl-nl/admin/deliverables/2158/BB_ENT_SOLN_STO_ES.p Ya te digo, cuando me pasé a iOs me quede un poco así
Podrían obligar a formatear en ext4 las SD, y usar permisos más restrictivos. O hacerlo a nivel de API (que es lo que creo que están haciendo).
Yo tengo Surespot, pero cada vez que alguien me quiere enviar un "mensajito" se empeñan en que sea por Whastapp...
A algunos amigos y conocidos he tenido que instalarles y configurarles yo el SureSpot!!
Y lo usamos. Pero creo que sigue pareciéndoles un snobismo es de tener que usar "otra cosa para chatear conmigo". Lo mismo les pasó hace años con el Facebook!! me resistí y nunca cree una cuenta con datos ni medio reales y por supuesto no lo uso. Ni muro ni ostias...
Ese antivirus es el mejor valorado de android el año pasado... por eso lo instale... y me ha detectado ciertos archivos malware que el avg no me habia detectado en un año.
los habra mejores... probablemente... pero de pago.
A igualdad de precio, podría haber dudas (en mi opinión). Ahora bien, teniendo en cuenta que ya encuentras móviles Android muy buenos por menos de 200 € y que el iPhone más barato vale 400€, no hay color.
Deberían sacar antivirus para la vida real: "Aviso AVG: No montes en este coche, no puedo garantizar que no te estamparás contra un camión en el próximo cruce."
Me sorprende que la gente se queje de whatsapp pero luego dejan que un juego tenga acceso a su cuenta de facebook.
De lo que avisa el antivirus (creo yo), no es que te vayan a timar, sino de que el programa que vas ha instalarte (sea juego u otra cosa), pide mas permisos de los que necesita... para los que no somos buenos en estas cosas biene bien una guia.
#33 Venía a decirte exactamente lo que ya te ha hecho notar #35. Conste que fui usuaria de iphone muchos años (si alguna vez los señores de la manzanita tienen a bien sacar algo remotamente parecido al 3GS me planteo el matrimonio de convenciencia con una operadora convencional otra vez... Aunque, la verdad, no he echado nada de menos en mi Nexus 5 excepto la facilidad de cambiar de teclado en dos clics en vez de tres), pero al César lo que es del César.
Una servidora cuando tiene que enviar comunicaciones importantes o información sensible utiliza el correo electrónico (y ahí es donde entra la verdad como un templo de #30).
La alternativa es irte a vivir a cueva, me temo.
Corrijo lo dicho en #1, entonces. Afecta a todos los usuarios de WhatsApp en Android.
No te quito razón en eso último, sé que la tienes toda. Pero aclaro que mi intención no es contradecirte, sino ser enfática en que aún siguiendo todos los consejos, dentro de Google Play existe tanto peligro como fuera y es saludable que el usuario esté advertido. ¡Que tengas feliz resto del día!
Aún así es más ligero, rápido, durará algo más tu memoria (menos escrituras adicionales) al tener menos control (overhead) y será por lo general más compatible entre diferentes sistemas: Windows, Linux, Mediacenters, Smart TVs, etc...
También depende de donde vayas a usar la memoria SD o USB, claro, puede ser que sólo Linux, y con ext4 vas mejor, pero normalmente al ser memoria 'portatil' la usas entre sistemas más diferentes.