Campaña de la Mozilla Foundation para la recogida de firmas:
2 Me gusta
Ya que nos ponemos, se lo podemos decir tambien a su ‘amigo’ WhatsApp
La gente se descarga su ZIP con los datos de su Facebook y se sorprende. No somos conscientes de lo que tienen ( y porque no vemos la inteligencia que le aplican a tanto dato).
Postdata:
Hay que tomarse más en serio la privacidad y ser más conscientes de la cantidad de datos que compartimos en tiempo real.
Por eso de vez en cuando hemos hecho sesiones en el grupo de seguridad informática. Aunque podrían hacerse más.
Facebook, Instragram y WhastApp a tomar por cul…
Muchos me direis yo uso Telegram, es la misma mierda con otro nombre, sus mensajes pasan por los servidores de Google (¿El ojo que todo lo ve?).
Te escucho.
1 me gusta
No te entiendo.
¿Discrepas con lo que digo?
Estoy preguntando por tus fuentes, o motivos para afirmar eso.
1 me gusta
¿Sabes lo que es el FCM de Google? Firebase Cloud Messaging es un sistema de mensajería sin el cual directamente ésta no funciona.
Es decir, para lo que es la mensajería en si, dependen únicamente en la infraestructura de Google que te he nombrado.
Google recopila todas las comunicaciones de Telegram y claro, como dicen, que Google sabe más de ti que tu propia familia, imagínate que privacidad ofrece Telegram. 
Telegram puede funcionar perfectamente sin FCM. Sigo esperando argumentos convincentes.
1 me gusta
Problemas de notificaciones
Android:
Actualmente tenemos dos tipos de notificaciones en Android: GCM y nuestro servicio de notificaciones personalizado, que es independiente de Google. Ten en cuenta que las notificaciones de Google (GCM) sólo funcionan adecuadamente en algunos dispositivos Android. El servicio de notificaciones de Telegram es confiable, pero requiere recursos adicionales de batería. Tampoco toma mucha ni debería, así que, por favor, reporta todos los casos de consumo drástico de batería.
Esto dice su F.A.Q. oficial, te paso el enlace: https://telegram.org/faq/es#problemas-de-notificaciones
Esto es por que los sockets en Android se cierran al pasar un corto periodo de tiempo (Entran en mode DOZE, apartir de la API 23, la versión 6.0.), te paso el enlace: https://developer.android.com/training/monitoring-device-state/doze-standby.html?hl=es-419
Resumiendo, para poder tener una comunicación real, es decir un socket abierto SIEMPRE solamente se puede recurrir al FCM de Google. (Para las versiones de iOS no tengo suficiente información para hablar)
Esto especifica más la documentación de Android:
Restricciones del modo DOZE:
Durante el modo Descanso, se aplican las siguientes restricciones a tus apps:
“Se suspende el acceso a la red”, es decir, sockets abiertos.
Otra cosa que me mosquea de Telegram es que no libera su código fuente del servidor. ¿Alguien sabe donde puedo encontrarlo?
Es fundamental para estar seguros de nuestra privacidad.
Aquí dos guías elaboradas por el CCN-CERT, por si son de interés:
-
Whatsapp (Publicado: 06 Octubre 2016): https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1746-ccn-cert-ia-21-16-riesgos-de-uso-de-whatsapp/file.html
-
Telegram (Publicado: 19 Septiembre 2017): https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2443-ccn-cert-ia-23-17-riesgos-de-uso-de-telegram-1/file.html
Interesante lo comentado sobre notificaciones. He mirado lo de la solución de Firebase Cloud Messasing (FCM). Entonces quieres decir que ¿Google es capaz de leer todas las notificaciones que usan las apps de nuestro Android por usar su servicio para las notificaciones, o en teoría va cifrado por ser entre nuestra servidor de la app con el cliente? (ya obviando que controlan el teléfono, eso está claro) @asier
Un saludo.
1 me gusta
¡Hola Lacurvaone!
Interesantísimos los informes que has compartido del CNI.
Lo primero de todo, decir que ya de por si Android, que es totalmente inseguro, la forma de guardar las claves de cifrado son fácilmente accesibles, el código fuente del SO no es totalmente libre, lo que significa, que seguramente tenga puertas traseras (Back doors) para que nuestros amigos de Google tengan mucha información nuestra (al fin y al cabo, es una empresa de publicidad), a parte, la mayoría de apps usan el Google Play Services, donde queramos o no, obtienen nuestra localización y estadísticas del uso del dispositivo y de las diferentes apps.
Tenemos alternativas a un SO Android de código abierto (véase Copperhead https://www.xatakandroid.com/sistema-operativo/que-es-copperheados-y-por-que-lo-usan-las-organizaciones-terroristas).
Con respecto a Telegram, tenia experiencia con ella cuando usaba el antiguo GCM de Google exclusivamente para la mensajería socket, parece ser que la versión que proporciona F-Droid no lo usa, y si, el servidor propio de Telegram,
tiene que comunicarse con el de Google para poder comunicarse por socket con los clientes de la app. Desde la API 23 (versión 6.0. de Android), el dispositivo entra en modo DOZE, esto, hace que todas las comunicaciones en “tiempo real”, es decir, las socket, tengan que pasar necesariamente por los servidores de Google, se obliga a usar el mencionado FCM.
Así que podemos llegar a la conclusión de que tanto Google como Telegram, guardan quien escribe a quien y a que hora, y este, es el verdadero problema actual de privacidad. No voy a entrar en la discusión de si Telegram cifra los mensajes de extremo a extremo. No he analizado enteramente su último código fuente, pero insisto, la mayor falta de privacidad no es el mensaje en si que enviamos a nuestro destinatario.
Muchos medios de comunicación también han señalado a Signal como un medio de comunicación “más” seguro. Podría hablar largo y tendido de ello pero este pequeño artículo creo que lo resume un poquito:
Con todo lo que he leído y estudiado, he podido llegar a una conclusión. Ni la red Tor, ni Telegram, ni Signal, la única alternativa que veo para un servicio de mensajería es una red donde cada dispositivo es un cliente servidor propio para comunicarse sin pasar por ningún servidor típico a los que estamos acostumbrados.
Un cifrado de extremo a extremo con un intercambio de claves mediante RSA o las nuevas curvas elípticas, un servidor de código libre que “SOLAMENTE” tenga una base de datos con las IPs actuales de los dispositivos para que la app sepa la IP pública del destinatario. Y voy aún más, para que las operadoras no sepan “con quién hablamos”, hacer que otros dispositivos hagan de intermediarios.
¿Algún voluntario para este proyecto de código abierto?
1 me gusta
Gracias por la información @asier .
Hombre hay que ser consciente que al usar cualquier servicio pues debemos ‘confiar’ en quien lo ofrece. Si no convence pues no usarlo.
Pero es difícil no ser rastreado u ocultar cierta información en algunos casos. Tanto en Tor, como Bitcoin (que ahora está la moda) la policía ha rastreado a criminales, con gran cantidad de recursos, pero todo es posible.
La solución es no usar nada, pero tampoco es una opción aislarse XD. Hay que intentar tener el máximo control posible, dentro de lo posible, y usar herramientas para mitigar este Gran Hermano. Para más leer las condiciones y política de privacidad de los servicios que se usen jajaja.
PD: Gracias @olea por la ‘b’ de antes, fallo.
Un saludo.
1 me gusta