Si franc, tienes toda la razón en que liberar el código sería fundamental para asegurar que el cifrado que hemos implementado funciona correctamente, y esta libre de agujeros de seguridad.
Como ya hemos comentado, no hemos creado Yiii para competir contra apps muy asentadas en el mundo, como es el caso de las que citas. Yiii es otra cosa, un intento por fomentar la naturalidad en las conversaciones, uno de los pilares de la interacción social.
Como hemos comentado anteriormente, lo sentimos, por no poder abrir Yiii al resto de España y fuera de ella, de todas formas si te apetece probarla o quieres que otras personas puedan probarla, podemos habilitar tu dispositivo para poder usar Yiii y no tener que pasar el filtro de la localización. De ser así, escríbenos un e-mail a [email protected] proporcionándonos los número de teléfono que tu quieras que tengan acceso.
Si franc, tienes toda la razón en que liberar el código sería fundamental para asegurar que el cifrado que hemos implementado funciona correctamente, y esta libre de agujeros de seguridad.
Hablo de ir más allá de eso, me refiero a garantizar la privacidad del usuario y de sus comunicaciones.
Como hemos comentado anteriormente, lo sentimos, por no poder abrir Yiii al resto de España
No hay problema, pedisteis feedback y por ello probé la app hasta donde pude y solo llegué a parte del registro.
Por lo poco que he visto es una app de mensajeria en la que la geolocalización es parte sine qua non, y esto no lo habéis puesto en el mensaje inicial de presentación.
Bajo mi punto de vista la privacidad queda totalmente comprometida si la app te geolocaliza.
Claramente no entendí en la presentación que tipo de app habíais desarrollado, pero ya me ha quedado claro que no soy su público objetivo.
Sí, es un error nuestro no explicar que en Yiii una buena parte de la funcionalidad requiere de la geolocalización.
De todas formas, hemos añadido una función en la configuración para poder desactivarla, tan fácil como pulsar un botón y ningún dato de la posición geográfica será obtenido, aunque claro, de esta forma también se deshabilita a esta persona del entorno del resto de usuario y se le imposibilita ver su propio entorno.
Con la localización desactivada, el resto de funciones de la mensajería siguen activas para comunicarse con los contactos de su agenda telefónica o los conocidos dentro de la propia aplicación.
Las apps se pueden ofuscar, lo que complica mucho modificar el código.
De todas formas, no hay nada que asegure al 100% que no se pueda adaptar el código para conseguir otro tipo de funcionalidad, pero ofuscada, se hace muy complicado un intento de ingeniería inversa o desensamblado.
He decompilado vuestra app (unos 2 minutos todo el proceso, incluyendo descarga), y sin entrar en detalles bastaría con modificar la clase que tenéis que hereda de ImageView, en el método que llamáis desde el otro hilo, habría que añadir que las imágenes, además de ponerse en el ImageView también se guardasen en el la SD y ya está.
Desgraciadamente, podéis prometer que no se guardarán los datos en vuestros servidores o que no los recibirá nadie salvo el destinatario, pero no podéis tener la certeza que todo lo que llegue al destinatario será borrado de este.
Este año en el Open South Code pude ver como un chico, Fernando, un becario de Google Málaga nos explicaba la herramienta Apktool. Consiste en decompilar el apk y lo transforma a un ensamblador llamado Smali. Desde ahí se puede ver el flujo de la app aunque esté algo ofuscada.
Vender seguridad hoy en día sin publicar código es algo que hace un poco aguas, porque podéis tener muchos más fallos de los que no sois capaces de encontrar (véase los comentarios de @MiguelAngelLV y @Jesus ). El talento esta distribuido en el mundo, no está concentrado ni en una empresa, ni en Sillicon Valley, etc. Al liberar dejas que la comunidad, el talento aporte.
En fin, cada uno tiene su modelo de negocio, y yo no soy nadie para criticarlo, pero es algo a tener en cuenta, nada más.,
Lo primero, perdonad el retraso, estamos muy liados con la promoción del Yiii este fin de semana en Almería.
Es imposible evitar que una vez ha llegado el mensaje, asegurar que no queda rastro alguno, por poner un ejemplo rápido, se puede sacar una foto a la visualización de una imagen en una pantalla con otro dispositivo.
Lo único que podemos hacer es complicar, no evitar, y al menos tenemos que hacer todo lo posible para que desde nuestra propia app no puedan mantener los datos.
Liberar el código facilitaría muchísimo la labor.
La seguridad 100% no existe y menos en el caso de evitar una copia de algo a lo que se tiene acceso en el propio dispositivo local.
La seguridad realmente la hemos puesto por que personalmente nos preocupa, es algo que da mucho trabajo, y a la mayoría de los usuarios no le importa. Lo que a la mayoría de la gente le preocupa más, es que alguien “curioseé” su móvil y pueda ver las conversaciones.
Sinceramente no esperamos que la gente se instale la app por la encriptación, es simplemente un añadido.
