WhatsApp, tal y como hemos comentado alguna vez, le ha dado un vuelco al concepto de mensajería móvil, prácticamente, relegando a un segundo plano el SMS y haciendo tambalear la hegemonía de BlackBerry Messenger. WhatsApp se ha extendido como la pólvora y, prácticamente, todo aquel que tiene un smartphone, o que va a comprar uno, lo tiene instalado o piensa instalárselo, sin embargo, WhatsApp también tiene su cara oscura, o al menos eso comentan en Security By Default, donde han destripado la aplicación y han encontrado que esta popular aplicación de mensajería instantánea recopila mucha más información de la que realmente debería.
No hace mucho, WhatsApp saltaba a la palestra porque la comunicación, aunque saliese por el puerto 443, no estaba cifrada y, lógicamente, era un riesgo para usuarios que accediesen a través de redes compartidas, es decir, una wifi. En esta ocasión, más que hablar del protocolo, toca hablar de la información que reside en el terminal móvil, al igual que comentábamos esta mañana con las aplicaciones de Foursquare, Netflix o LinkedIn en Android.
WhatsApp almacena en los terminales un par de archivos en formato SQLite, msgstore.db y wa.db, que no están cifrados y que almacenan los mensajes enviados y la lista de contactos, respectivamente. La verdad es que asusta un poco que en un archivo del teléfono residan todos los mensajes enviados en la aplicación, sobre todo, estando sin cifrar y es que, por mucho que desde la aplicación le demos a borrar conversaciones, dejaremos de verlas en el interfaz pero seguirán estando almacenadas en el archivo msgstore.db, todo un deleite para aquellos que busquen entrometerse en los asuntos ajenos.
Pero si esto es curioso, y a la vez grave, la cosa se complica aún más cuando se descubre que en msgstore.db se guardan las coordenadas geográficas de cada uno de los mensajes. Es decir, que si alguien tiene el GPS activo y envía un mensaje con WhatsApp, se estará guardando traza del mensaje y de dónde se envió.
En la versión para Android, la traza que almacena WhatsApp en el teléfono es aún mucho peor, o bueno, mucho mejor para aquellos que quieren controlarlo todo sobre alguien. WhatsApp para Android, por defecto, tiene activado un modo de ejecución que guarda, prácticamente todo, en el archivo de log. Tanto es así, que todas las transacciones (envíos y recepciones de mensajes) se almacenan en el log, incluyendo su marca temporal. Por tanto, alguien podría sacar esos archivos y, mediante un script, sacar un bonito listado de destinatarios y remitentes de mensajes.
Como comentábamos esta mañana, para acceder a todos estos datos hay que tener acceso al terminal pero, por desgracia, todavía hay usuarios descuidados que no bloquean sus teléfonos con contraseñas y, claro está, ante tanto archivo sensible, dejarse el teléfono olvidado, o perderlo, es todo un riesgo.