Todos podemos ser víctimas. Ejemplo: SanMail

¿Cuantas veces hemos dicho que el software libre es la mejor y quizá la única vía de mantener la soberanía tecnológica, la seguridad y la privacidad de nuestros datos?

Algunos no nos cansamos de repetirlo, pero muchas personas todavía creen que están a salvo, que no hay forma de que puedan ser atacadas, o que simplemente no son lo suficientemente interesantes y/o importantes como para ser victimas.

Hoy quiero hablarles sobre una aplicación para Android hecha en Cuba, llamada SanMail (http://sanmail.cubava.cu/). La cual, según acabamos de descubrir, comparte información personal, sin advertencia previa y sin el consentimiento del usuario.

En la descripción de dicha aplicación podemos leer:

En su desarrollo se pone énfasis en la libertad, seguridad y privacidad de los datos enviados, recibidos o guardados por el usuario

Sin embargo, dicha aplicación envía de forma oculta información vía correo electrónico (Incluyendo el nombre y la dirección de correo electrónico del usuario) a la dirección sanmail.apk@gmail.com tal como podemos ver en la siguiente traza:

Un análisis mas profundo llevado a cabo con el código de la aplicación descompilado, reveló el bloque de código que se encarga de enviar dicha información:

Como dato curioso, no nos fue posible reproducir el comportamiento desde máquinas virtuales, la aplicación solamente envió el correo con la información desde dispositivos reales.

¿Cómo reproducir dicho comportamiento?

Para reproducir el comportamiento y observar qué información intenta compartir la aplicación desde nuestro móvil, podemos correr un servidor SMTP local. La forma mas sencilla es usar en nuestra PC el que incluye Python (instalado en casi todas las distribuciones de GNU/Linux) y correrlo desde la terminal:

python -m smtpd -n -c DebuggingServer 0.0.0.0:2525

Una vez hecho esto, debemos instalar la última versión de la aplicación y conectar el móvil a la misma red de la PC donde tenemos corriendo nuestro servidor SMTP.

Al abrir la aplicación por primera vez, nos pedirá configurar nuestro correo electrónico, y como servidor de salida debemos señalar el servidor SMTP que acabamos de iniciar (fijarse en el comando, que acabamos de iniciarlo en el puerto 2525). Para éste en específico podemos decirle que no use usuario y contraseña.

Una vez terminados los pasos de configuración, si todo fue bien, veremos como en la terminal, aparecerá un nuevo correo electrónico, enviado sin que el usuario lo halla solicitado y sin advertencia previa conteniendo información personal que la aplicación no debería enviar a los desarrolladores.

¿Es posible que otras aplicaciones hagan ésto?

Desafortunadamente otros casos como éste (o incluso peores) son completamente posibles en el entorno Cubano, ya que la mayoría de las aplicaciones que se comparten son privativas y no se obtienen de fuentes confiables, lo que facilita que puedan contener funcionalidades de este tipo sin ser detectadas, o incluso que terceras personas modifiquen aplicaciones legítimas y las distribuyan con objetivos malintencionados.

Fuente: https://gutl.jovenclub.cu/todos-podemos-ser-victimas-ejemplo-sanmail/

Mapa de visitas de esta entrada

 

Comparte en las redes sociales

37 comentarios

Ir al formulario de comentarios

    • Yury on 12 febrero, 2018 at 1:40 pm
    • Responder

    Creo estamos sobre exagenrando y tergiversando a nuestro gusto la informacion.
    Fijese que NO envia contraseña del usuario
    Solo envia el correo que uso para registrarse en la aplicacion y el numero de telefono
    como hacen muchos otros, como Siju, Cubamessenger por poner ejemplos
    Sin contar que estas otras aplicaciones envian todo el flujo de la comunicacion que mentienen a travez de ellas

      • Jorge on 12 febrero, 2018 at 3:52 pm
      • Responder

      Las direcciones de correo reales (para spammear) se vendían en 0.0025 centavos usd y creo que los números de teléfono incluso mas caros. Así que puede ser un buen negocio.

      • Dandee on 13 febrero, 2018 at 5:00 pm
      • Responder

      Ya con enviar eso basta

    • Eva on 12 febrero, 2018 at 1:43 pm
    • Responder

    Y que me dices de cubamessenger q envia todos tus correos a noreply@cubamessenger.com antes cubamessenger@gmail.com
    y por supuesto los que te envian

    1. Envía los datos que USTED le facilita para que los envíe y no los que ella logra reunir.

      • Luis Enrique on 12 febrero, 2018 at 4:40 pm
      • Responder

      Si mal no recuerdo cubamessenger y siju uno se da cuenta que van tus datos a terceros. O sea, que si quieres usas las aplicaciones o si quieres no lo haces. Pero lo que puedo interpretar en este escrito es que está no te alerta de nada de esto. Es mi criterio. Si me equivoco….pues aquí estoy. Saludos

    • WISIN on 12 febrero, 2018 at 2:32 pm
    • Responder

    José L amigo y que me dices de toda la informacion que google recopila y envía a sus servidores desde nuestra Pc o Smartphone, que todas estas incluyen, posicionamiento en tiempo real, nuestros gustos mas comunes de compras online, nuestros contactos y una gran cantidad de logs generados por el trafico, y sin decir las imagenes que sube de nuestro phone a su nube y aun mas esta informacion es dad al buro en EE.UU para investigaciones y posibles delitos y terrorismo segun ellos, Entonces de que hablamos si es todo fuente ¨¨ confiable????? y ellos tienen un gran término de uso y privacidad de los datos que ellos mismos ponen al descubierto. es decir que nunca va a existir esa soberania esa famosa terminología que todos ponen sobre seguridad y datos personales.

    Mis saludos

    1. Pero al menos Google la primera ves que enciendes el equipo te pregunta si lo puede hacer y lo que no pregunta lo avisa. Igual es un tema complicado, pero al menos no te roban el numero de teléfono o la cuenta de correo si no se la das.

    • Jorge Enrique on 12 febrero, 2018 at 3:17 pm
    • Responder

    Para el equipo de SanMail….. si es que visitan este sitio…

    Con tantos buenos clientes de correo que existen, gratis y personalizables casi al detalle, ¿tengo que pagar?

    Yo creo que deben pensar en otra forma de recaudar fondos, porque pagar para cambiar el tamaño de la letra o la frecuencia de actualización…… definitivamente ustedes están por el camino equivocado.

    Y para colmo te roba la privacidad enviando tus datos a los creadores….. definitivamente esta falta de algo duro en la cara y a toda velocidad.

      • Dandee on 26 febrero, 2018 at 4:52 pm
      • Responder

      Por eso la aplicación de correo que instale en mi teléfono tiene que ser hecha por personas fuera de Cuba, tiene que estar en Google Play y tener buenas reseñas, además que tenga un sitio oficial .com con el candadito de conexión verde.

      • Jupiter on 9 marzo, 2018 at 10:41 am
      • Responder

      Pero la cosa es que, Google no utiliza esta informacion para roobarnos dinero, de nuestras cuantas o algo por el estilo.

    • jmc on 12 febrero, 2018 at 4:44 pm
    • Responder

    y porque no le cierran la paguina web???? al no tan santo… jajaja

      • Metralla...!!! on 13 febrero, 2018 at 11:44 am
      • Responder

      @jmc la página esta a manga por hombro es un desastre, ni se visualiza

    • Miguel cuza on 12 febrero, 2018 at 5:20 pm
    • Responder

    Saludos a todos los de blok primero tengo algo que decir me parece que han formado espabiento con un desarrolador que lo unico que ha hecho es hace un apk (que por cierto yo la uso ) para hacernos mas facil la comunicacion con nuestros correos electronico me parece demaciado excecivo el que creo esta publicacion acusando a SANMEIL y por tanto al desarrollador de ladron creo que son palabras fuertes y muyn serias lo unico que va al desarrollador es numero de telefono y es una funcion creada para marle confirmacion y el codigo en caso de que quieras comprar aportar al desarrollador NDAMAS no es un supuesta secta de recoleccion de daaaaaaaaaaaaaaaaaaoni nada por el estilo GOOGLE lo hace sabe mas de ti y NADIE DICE NADA y TODO elmundo se hace cuenta no obstante creo yo que cunado alg n te gusta de un producto te quejas ESPERAS la respuesta y si no es satisfactoria formas espaviento de lo contrario no lo hagas antes señor CESAR con todo el respeto que usted se merece el creaoriginal claro no creo que escrivir esas cosas de la manera que lo hiso fuera correcto, tenga profecionalidad y respeto por el trabajo de otros
    y espero que jorgen el creador de ETSE BLOG se deje cojer para eso estan utilizando tu plataforma para exparcir chismes infundados mira que has luchado mucho por llegar donde estas y soy seguidor tuyo desde el principio

      • yo(el primero) on 12 febrero, 2018 at 6:56 pm
      • Responder

      no es chisme es código expuesto… pero bueno… exparcir… jajaja con esa me ganaste

        • CligthBlue on 19 febrero, 2018 at 9:47 am
        • Responder

        Muy de acuerdo contigo, que pasa Jorgen, te vas a coger pa eso, dejar que publiquen este tipo de cosas, respetemos el trabajo de los creadores, están formando una tormenta en un vaso de agua. Tengan cuidado que Google los puede estar viendo en este mismo momento a través de su webcam, ah, y no tiene que estar encendida para hacerlo, ellos si que saben como lograrlo, jajaja. Uso SanMail y para mi es la mejor en la forma de tratar los correos electronicos.

    1. Miguel, ¿sabia usted que por lo que ha hecho el autor de la aplicación (recolectar información sin el consentimiento ni conocimiento de usuario) en otros países podría ir hasta preso?

      Desafortunadamente, como lo muestra su comentario, en Cuba tenemos muy poca cultura en cuanto a las nuevas tecnologías y al peligro que acarrea su uso sin los conocimientos necesarios.

      Como nota positiva, el autor ha retirado los enlaces de descarga de la web, hasta liberar una nueva versión con el problema corregido, esto dice bastante a su favor.

      Saludos.

        • Dandee on 13 febrero, 2018 at 5:04 pm
        • Responder

        Por eso todos los día voy para Google Play que me queda al lado de la bodega donde compro el pan. Así nunca he tenido problema

      • Miguel Cuza on 14 febrero, 2018 at 11:30 am
      • Responder

      Perdon por la falta ortografica lo hice en una sala de navegacion con la internet pero ese no es el punto espero que entiendad lo que quice decir

  1. Yo creo hay un punto fundamental que da pie a este post y es que las políticas de privacidad, seguridad informática y derecho de autor en nuestro país aún son del año de la bomba, de cuando el telégrafo y la correspondencia por lo que si se quiere informatizar a la sociedad cubana hay que contar con las leyes para proteger nuestro ciberespacio y nuestro internautas.

      • yo(el primero) on 17 febrero, 2018 at 11:50 pm
      • Responder

      bueno a ver si por aquí tengo mejor suerte…
      https://jorgen.cubava.cu/2018/02/11/premios-tuandroid-qvacall-ahora-con-la-opcion-de-limpiar-el-correo-nauta-evento-tuandroid-30/#comment-40423

      vamos hombre que no te estoy preguntando una integral cuátruple ni tampoco estás tan complicado de tiempo si puedes escribir un artículo como este de una apk que no es ni de ustedes
      cuándo pusiste “Pero…. que respuesta es la que quieres?????????” pensaba que me ibas a responder
      de paso mira ver si le puedes responder al Yury que les preguntó el “3 enero, 2018 en 10:32 am”…
      o…

      1. Estimado yo(el primero) asumo que usted no es usuario de la app, tiene una versión relativamente obsoleta o no sabe ni lo que escribe.

        Pregunta: 1- tienen algún equivalente a la función de ETK de conectarse a la wifi por nauta?
        algo que decir con respecto a esto? piensan sacarlo? alguna idea? ya lo tienen y no lo he visto?

        Respuesta: Pues sí, eso esa funcionalidad está disponible desde la versión 1.1.13, por favor consulte el historial de cambios de la app hasta el momento.

        Pregunta: 2- en otra te decía que tengo la 1.1.1 y cuándo doy en actualizar no se actualiza, cuándo descargué la que tienen aquí y la instalé me da un error y me dice que la aplicación no se instaló que puede ser?

        Respuesta:
        Generalmente sucede en algunos dispositivos, es recomendable que desinstale la version antigua completamente y reinstale la última versión 2.0.1

        Pregunta: 3- alguien me comentó que en la 2 o en ¿la más actual?(no recuerdo) no había conexión con la BD de etecsa, eso es así?

        Respuesta: No no es así, la app es totalmente compatible con la base de datos que el usuario decida usar.

        Bueno amigo, espero haber respondido todas sus preguntas aunque la app no sea mia ni sepa que es una integral cuádruple, solo se sumar, restar, multiplicar, dividir, observar y escuchar. Saludos

  2. Y que me dicen de la WiFi Etecsa que las claves viajan en texto plano. Que me dices de facebook que subes TU VIDA en fotos y comentarios y ellos saben tu correo y numero de teléfono además? Que me dices del cubamessenger y el siju que ambos están en servidores extraños o de terceros que a parte de tener tu numero de teléfono y correo también tienen tus conversaciones ?? Que me dices de los servidores NAUTA que almacenan hasta 100 mb de tus conversaciones y etc.. Porque no han hablado de eso aquí en el blog.

    Mi opinión?? Están exagerando y satanizando esa apk

    Mi pregunta ?? A quien le hace competencia esta apk? Al siju? Al cubamessenger??

    Por lo demás esta muy bueno el blog

    Saludos

      • Eddys on 15 febrero, 2018 at 1:04 pm
      • Responder

      A manera de aclaración para aquellos que insistentemente comparan esta situación con Facebook o Google…

      Si cuando te salen los largos disclaimers y le das que aceptas sin leer lo que dice pues sencillamente no tienes derecho a reclamar.

      Si por el contrario no te dicen nada y lo hacen ES una GRAN VIOLACIÓN de la privacidad.

      • Dandee on 26 febrero, 2018 at 4:59 pm
      • Responder

      Cuando llegue internet para los cell voy a usar Telegram, jamás he usado sijú ni cubamessenger. Y por el nauta no digan cosas privadas que la Seguridad lo revisa todo. Debe haber algún personal en esto, al igual que lo hace google en cooperación con la NSA.

    • Oswel Verdecia on 13 febrero, 2018 at 10:02 am
    • Responder

    estoy de acuerdo con el post, para nada las apps de emails necesitan enviar información de sus usuarios, antes de enviarlo deverían preguntarle al usuario si está de acuerdo en enviar información suya a terceros, por eso vemos personas quejándose de que en ciertas ocasiones le llegan correos de listas de distribución que ellos nunca se inscribieron, muchas veces con propagandas subversivas. Saludos.

    • alexander on 13 febrero, 2018 at 12:35 pm
    • Responder

    Miguel Cuza: Creo que escribió demasiado rápido y por eso, además de las faltas ortográficas que hacen muy difícil la comprensión de su mensaje, también le faltó analizar el real peligro de estas prácticas. No estoy muy de acuerdo con la política de dar datos personales a nadie en ninguna forma, pero es una práctica en estos días y desgraciadamente hasta en Cuba se utiliza.
    Es cierto que tienes dos opciones: Úsalo o no. En los tiempos actuales eso equivaldría al suicidio tecnológico y comunicacional. Pero al mismo tiempo normalmente existe la información de la recopilación de esos datos y como se usarán. Al menos hay una información que además es vendible sobre su persona y su entorno. O sea su privacidad es violada. Por suerte en ese sentido en Cuba no se corre ese peligro fuera de la WIFI y las salas de navegación. Pero cuando la conexión sea 24 horas desde el celular entonces es cuando comenzarán los lamentos de muchos.
    La privacidad es sagrada y nadie tiene derecho a saber de mi lo que yo no quiera, mucho menos a lucrar con mis datos. Sea quien sea.

    • yo(el primero) on 13 febrero, 2018 at 6:02 pm
    • Responder

    no hay tantas vueltas que darle a esto… la apk está haciendo una cosa que a cada cual puede importarle más o menos… ahora, ¿te avisa que lo va a hacer?
    si te avisa, está perfectamente bien, tómala o déjala, si no te avisa está violando, planamente, no lo traten de defender ni matizar ni nada de eso

    al desarrollador lo único que le queda es pedir disculpas decir que no lo va a hacer más y esperar no perder la confianza y la credibilidad de la gente

    • tay on 15 febrero, 2018 at 2:46 pm
    • Responder

    Yo estoy de acuerdo con Lucas y además quien quiera usar la app por las ventajas que tiene esta en su derecho y el que no pues que siga cuidando sus datos y Listo!!!

      • yo(el primero) on 17 febrero, 2018 at 11:32 pm
      • Responder

      y eso siempre estuvo ahí, o sea no lo agregaron a último momento?

      • yo(el primero) on 17 febrero, 2018 at 11:39 pm
      • Responder

      y eso siempre estuvo así? o sea desde el primer momento todo el que instalaba la apk podía ver eso? no es algo que ustedes agregaron después?

        • Rey on 21 febrero, 2018 at 9:50 am
        • Responder

        tu(el primero) 😀
        Ya en la compilación aparece el cartelito que se había quedado colgado desde algunas compilaciones atrás. Se le hicieron algunas modificaciones de última hora como la inclusión de envío de datos por SMS, pero estaba, lo que por un error de programación no se mostraba al inicio. Créeme que luego de tener un Android Studio compilando durante 2 a 5 min en los mejores casos, no es fácil acordarse de todo lo que ibas a probar.
        Espero ya estén mas tranquilos los usuarios.
        Disculpen las molestias que esto pudo causarles.

          • yo(el primero) on 19 marzo, 2018 at 2:17 pm
          • Responder

          ahora fue que vi esto… ah! a si lo dice en el cartelito entonces to esto es drama jajaja

      • Luis Fernando Ceballos Sori on 19 marzo, 2018 at 10:11 am
      • Responder

      Los autores del delito: El equipo de SanMail
      Quisiera saber que ganan ustedes obteniendo información personal de los usuarios. ¿Qué hacen con ella?

      Y de paso, leanse esto: “https://www.apple.com/la/privacy/”

      Quizá no tenga nada que ver con la app, pero estos, si saben proteger a los suyos: Aquellos que consumen Apple. Obtienen información si, pero ellos lo aclaran y dicen que nunca van a hacer nada mal hecho con ella. Sigan su ejemplo.

      Estas, fueron una de las cosas que más me entraron al alma:

      Los productos Apple están diseñados para hacer cosas increíbles. Y para proteger tu privacidad.

      Para Apple, la privacidad es un derecho humano fundamental. (…)

      (…) Tu información personal te pertenece a ti. Y nada más que a ti.
      Puedes tomar fotos o buscar una dirección con toda tranquilidad, ya que Apple no almacena tu información personal para vendérsela a anunciantes ni a otras organizaciones. (…)

      (…) No importa lo que guardes o envíes, tu información está protegida.
      Cuando envías un iMessage a un amigo o haces una llamada FaceTime, tus datos se encriptan para protegerte. Lo mismo pasa con la información personal que guardas en tu dispositivo. Por ejemplo, la información que se usa para identificarte con Touch ID o Face ID se convierte en una representación matemática que se encripta y está protegida en un Secure Enclave en tu dispositivo, y ni iOS ni las apps pueden acceder a ella. (…)

      (…) Tus apps siguen tus reglas.
      Todos los desarrolladores de apps están obligados a cumplir con directrices muy estrictas diseñadas para proteger tu privacidad. Si nos enteramos de que una app viola estas directrices, el desarrollador debe solucionar el problema o retiramos la app del App Store. Y si una app que instalaste en tu dispositivo quiere acceder a tu información personal, como tus fotos o contactos, recibirás una notificación para pedir tu permiso. Luego podrás modificar estos permisos cuando quieras.

      Atentamente, espero una respuesta convincente.
      ldjsoft@gmail.com

        • yo(el primero) on 12 junio, 2018 at 11:12 pm
        • Responder

        jajajaja super memorandum apple “Atentamente, espero una respuesta convincente.” jajajaja yo me dije que no te iba a responder ni escribir más pero es que es pa desc… de la risa jajajaja
        compadre búscate a alguien con quien hablar, ya no te chivo más

  3. Saludos a todos. He visto un poco tarde este hilo de conversación pero igual escribiré.
    Les dejaré un poco de historia sobre lo que pasa cuando no se tiene en cuenta la privacidad y las consecuencias que esto puede acarrear, ya sea por culpa nuestra o de los programadores.
    Puede que media Cuba me critique pero bueno…
    Les dejo este artículo para todos los que utilizan Zapya. Ya sea para transferir archivos, ligar (muchos lo hacen), enviarse fotos privadas, etc. Léanlo completo, es una historia real. Y es una app que todo teléfono en Cuba tiene instalada (me incluyo claro).

    http://scriptlinux.cubava.cu/2018/05/28/en-verdad-cuidamos-nuestra-privacidad/

    Cayendo un poco en redundancia: La privacidad es privada.

Deja un comentario

Your email address will not be published.