¿Cuantas veces hemos dicho que el software libre es la mejor y quizá la única vía de mantener la soberanía tecnológica, la seguridad y la privacidad de nuestros datos?

Algunos no nos cansamos de repetirlo, pero muchas personas todavía creen que están a salvo, que no hay forma de que puedan ser atacadas, o que simplemente no son lo suficientemente interesantes y/o importantes como para ser victimas.

Hoy quiero hablarles sobre una aplicación para Android hecha en Cuba, llamada SanMail (http://sanmail.cubava.cu/). La cual, según acabamos de descubrir, comparte información personal, sin advertencia previa y sin el consentimiento del usuario.

En la descripción de dicha aplicación podemos leer:

En su desarrollo se pone énfasis en la libertad, seguridad y privacidad de los datos enviados, recibidos o guardados por el usuario

Sin embargo, dicha aplicación envía de forma oculta información vía correo electrónico (Incluyendo el nombre y la dirección de correo electrónico del usuario) a la dirección sanmail.apk@gmail.com tal como podemos ver en la siguiente traza:

Un análisis mas profundo llevado a cabo con el código de la aplicación descompilado, reveló el bloque de código que se encarga de enviar dicha información:

Como dato curioso, no nos fue posible reproducir el comportamiento desde máquinas virtuales, la aplicación solamente envió el correo con la información desde dispositivos reales.

¿Cómo reproducir dicho comportamiento?

Para reproducir el comportamiento y observar qué información intenta compartir la aplicación desde nuestro móvil, podemos correr un servidor SMTP local. La forma mas sencilla es usar en nuestra PC el que incluye Python (instalado en casi todas las distribuciones de GNU/Linux) y correrlo desde la terminal:

python -m smtpd -n -c DebuggingServer 0.0.0.0:2525

Una vez hecho esto, debemos instalar la última versión de la aplicación y conectar el móvil a la misma red de la PC donde tenemos corriendo nuestro servidor SMTP.

Al abrir la aplicación por primera vez, nos pedirá configurar nuestro correo electrónico, y como servidor de salida debemos señalar el servidor SMTP que acabamos de iniciar (fijarse en el comando, que acabamos de iniciarlo en el puerto 2525). Para éste en específico podemos decirle que no use usuario y contraseña.

Una vez terminados los pasos de configuración, si todo fue bien, veremos como en la terminal, aparecerá un nuevo correo electrónico, enviado sin que el usuario lo halla solicitado y sin advertencia previa conteniendo información personal que la aplicación no debería enviar a los desarrolladores.

¿Es posible que otras aplicaciones hagan ésto?

Desafortunadamente otros casos como éste (o incluso peores) son completamente posibles en el entorno Cubano, ya que la mayoría de las aplicaciones que se comparten son privativas y no se obtienen de fuentes confiables, lo que facilita que puedan contener funcionalidades de este tipo sin ser detectadas, o incluso que terceras personas modifiquen aplicaciones legítimas y las distribuyan con objetivos malintencionados.

Fuente: https://gutl.jovenclub.cu/todos-podemos-ser-victimas-ejemplo-sanmail/

Mapa de visitas de esta entrada

 

Comparte en las redes sociales