#MundoHacker: ¿Qué datos se pueden obtener de una aplicación de “control parental”?

espionaje movil

Hace ya unos años analicé otra herramienta de espionaje de dispositivos móviles. Ya sabes, este tipo de servicios online que ofrecen una manera de conocer en todo momento las acciones de los trabajadores/hijos o incluso pareja.

Para ello se sirven de una aplicación que debe ser instalada en el dispositivo objetivo, que por supuesto pide prácticamente todos los permisos habidos y por haber al sistema operativo, y que a partir de entonces estará continuamente registrando y enviando la información de uso a un centro de control controlado por el contratante.

Por detrás, el vacío legal basado en la delegación absoluta de responsabilidades en el usuario, dejando claro que la herramienta en sí no es ilegal, y que depende del uso que se le acabe dando, y de la legislación de cada país (en España por ejemplo el uso de este tipo de herramientas en dispositivos de terceros está prohibido, quedando en tierra de nadie su explotación a nivel de control parental), el usuario puede acabar incluso en la cárcel.

No es para menos. Como veremos en esta nueva entrega, este tipo de herramientas permiten monitorizar hasta el extremo todo lo que un usuario hace con su dispositivo. Y como dejan claro en sus términos legales, es potestad del usuario utilizarla adecuadamente.

Hace ya mucho tiempo, como decía, de aquel artículo, y el panorama móvil ha cambiado sutilmente. Así que esta vez me he instalado en mi propio dispositivo otra herramienta (Hoverwatch (ES)), que ofrece tres días de uso gratuito, y éste ha sido el resultado.

Empecemos.

hoverwatch instalacion 1

Primeros Pasos: Instalación y parametrización inicial

Lo primero que hay que tener en cuenta es que es necesario que el usuario tenga acceso al terminal a monitorizar durante al menos un par de minutos. Lo justo para seguir todos los pasos necesarios para instalar la aplicación, que se basan, principalmente, en:

  1. Descargar desde la página del servicio, previo login, o por otros métodos, la aplicación.
  2. Instalarla saltándose la recomendación de no hacerlo que muestra Android/Windows/MacOS (no cuenta con versión para iOS).
  3. Darle todos los permisos que requiere (en Android), que como se ve en la imagen superior, son prácticamente todos.
  4. Avisar de para qué se va a utilizar la herramienta, dándote tres opciones (control parental, control de dispositivos de trabajadores o nuestro propio dispositivo), pudiendo además decidir que la aplicación no sea visible en el menú de aplicaciones.
  5. Aceptar los términos de uso, donde dejan claro que lo utilizaremos únicamente para uso personal en nuestro dispositivo (da igual la opción que hayamos puesto anteriormente, al parecer).
  6. Seleccionar todo lo que queremos que registre del dispositivo (imagen inferior). Un servidor ha elegido todo. Y esto se puede cambiar más adelante desde la interfaz web.
  7. Guardar a buen recaudo el número PIN que sirve para entrar en la configuración de la app dentro del propio dispositivo. Entiendo que no es algo estrictamente necesario, pero es cierto que en caso de que volvamos a acceder a ella (si hemos decidido que se oculte, la única manera que se me ocurre es accediendo a ese supuesto “Sync Service” que genera para no llamar la atención), nos pedirá ese PIN para hacer cambios en la propia APP. Aunque es cierto que en el uso habitual, toda gestión a posteriori se hará mediante interfaz web en otro dispositivo.
  8. Permitir al demonio “Sync Service” controlar al resto de aplicaciones. Al menos en Android este paso sería necesario para que por ejemplo pueda sacar pantallazos cuando estamos utilizando otras apps.
  9. Permitir que el demonio realice capturas de pantalla sin mostrar alerta al usuario. Sería muy incómodo que le pidiera permiso, ¿verdad? :).

hoverwatch instalacion 2

Todo esto, como decía, lleva apenas un par de minutos. Seguramente escasos 30 segundos si ya lo hemos hecho alguna que otra vez.

Y es la única interacción física que vamos a necesitar para monitorizar todo lo que se haga con el dispositivo.

He de decir que en mi caso la instalé en un Xiaomi Mi A2 sin rootear (si estuviera rooteado podría, como explicaré más adelante, acceder a aún más información), y mi duda radica en cuánto será capaz de hacer en un sistema operativo menos abierto como es iOS. Parece que no lo suficiente, puesto que han decidido no ofrecer aplicación para la versión móvil del sistema operativo de Apple. Ventajas de ser ellos quien controlan absolutamente todo el ecosistema a su alrededor.

Y por cierto, que también tienen versión para PC y MacOS. Aunque vaya, aquí los controles de seguridad son más laxos.

hoverwatch interfaz

Interfaz web

Una vez instalada la app, en cuestión de segundos ya tendremos información para consultar en el centro de control.

Un centro de control al que se accede mediante URL, como cualquier otro servicio web, y que muestra de forma sencilla toda la información que va sustrayendo del uso del terminal.

Aquí tengo que decir que me han sorprendido varias cosas:

  • Casi todo se basa en capturas de pantalla/fotos: Descontando la lectura de llamadas, la agenda, los SMS y cuatro cosas más, me ha parecido curioso que casi toda la información la muestra en base a capturas de pantalla. Es decir, la forma que tiene de monitorizar es obteniendo capturas del momento en el que el usuario está enviando un DM por instagram, o escribiendo/leyendo un mail, o compartiendo una actualización en Facebook. Lo cual es hasta cierto punto un problema, ya que no hay manera de estructurar una búsqueda más allá de por el servicio que está utilizando, a diferencia de si la herramienta fuera capaz de formatear lo que el usuario está viendo en pantalla a texto enriquecido. Un alivio, hasta cierto punto, para todos nosotros, que quizás tenga que ver con todos los movimientos en favor de la privacidad y el control de permisos en las apps que hemos experimentado en estos últimos años (antes era muchísimo más sencillo acceder a conversaciones en servicios de mensajería, ya que estos se enviaban y almacenaban sin cifrar).
  • Registra también WhatsApp, pero no aparece en el menú: Otra de las cosas que más me ha sorprendido. No sé si es que un servidor utiliza la versión corporativa de WhatsApp, y por lo que sea esta herramienta no contempla aún la misma como WhatsApp. Pero el caso es que entre toda la información a la que es capaz de acceder, la información que obtiene de WhatsApp (de nuevo, vía capturas de pantalla) no cuenta con su propia sección, apareciendo directamente en mensajes. Y entiendo que es quizás lo más interesante de una herramienta de este estilo. Por contra, tengo que decir que al menos en la demo sí que aparecía correctamente tipificada, así que lo mismo se debe a lo que acabo de comentar.

hoverwatch pantallazos

Por aquí tienes algunos ejemplos de las capturas sacadas de forma automática estos días por el servicio.

Me ha gustado, eso sí, que las capturas solo se activan cuando se está utilizando el dispositivo. De forma que no es raro que para cada acción (por ejemplo, escribir un email) tengamos varias capturas con todo el proceso de creación. En la última imagen, por ejemplo, se ve cómo me ha pillado a punto de compartir una actualización de estado en Facebook, y tenía de hecho otras tres más en las que se veía cómo iba escribiendo la frase.

Cada ciertos minutos (elegidos por el usuario, y por defecto puesto en 10) saca además una foto con la cámara delantera. De nuevo, únicamente cuando lo estamos utilizando, por lo que lo más normal es que nos pille delante. Por aquí tienes dos ejemplos, pero te puedes hacer una idea que en 3 días tengo imágenes de mi cara de gilipollas para dar y tomar. Caminando por la calle, en la cama echado…

En mi anterior dispositivo (Mi A1) le tenía puesto un protector de cámara delantera, pero en este todavía no, por lo que en caso de ser víctima de una herramienta de este estilo, como se ve, el atacante podría estar espiándome sin problemas.

hoverwatch calendario

Funcionalidades que tiene y otras que echo de menos

Además, hace una copia que se va actualizando cada cierto tiempo del calendario de la víctima, así como va registrando toda su actividad vía GPS, mostrándola en un mapa.

Tiene por supuesto acceso a la agenda de contactos.

En la configuración del servicio, ofrece la opción de registrar llamadas, pero curiosamente en mi dispositivo (Android 8.1 actualizado al parche de seguridad de octubre) no siempre lo ha conseguido hacer. De nuevo, es un ejemplo más de cómo las mejoras de seguridad están poniéndoles las cosas complicadas a este tipo de herramientas.

Al no contar con root, tampoco será posible actualizar automáticamente la aplicación sin pedirle permiso al usuario. Y por supuesto, no puede pedirle permiso por razones obvias…

Las capturas de pantalla las realiza de forma automática en un intervalo de tiempo marcado por el usuario (por defecto cada 5 minutos). Entiendo que es pedir mucho, pero lo suyo sería que esto se ajustase automáticamente al uso que le está dando, de forma de saque más por ejemplo cuando ve que éste está haciendo algo, y menos cuando simplemente está en la pantalla de inicio.

Y echo además en falta una opción que entiendo resulta muy interesante para dos de sus casos de uso (control parental y control corporativo), que es la posibilidad de bloquear en remoto el uso de aplicaciones específicas. Recuerdo que un compañero mío hacía uso de una de estas apps para monitorizar a su niño, y en una comida le bloqueó el WhatsApp ya que había visto que estaba conectado en el tiempo que debería estar estudiando.

hoverwatch mapa

Conclusiones

Hay varios elementos que creo interesante señalar:

  • El acceso a la información a día de hoy es mucho más limitado: Comparándolo con lo que era capaz de obtener la aplicación que probé hace ya unos años, me alegra ver cómo el panorama móvil se ha sofisticado lo suficiente. El que esta herramienta, como la mayoría, haya recurrido a mostrar la información vía capturas de pantalla es un ejemplo.
  • La importancia de tener dispositivos actualizados: Viene de la mano de lo anterior. Si en vez de tener un dispositivo con Android One, y por tanto, actualizado a Oreo 8.1, tuviera un móvil Android de hace un par de años, seguramente con la versión 6.0 o cercana, es muy probable que la herramienta fuese capaz de acceder a muchísima más información de mi uso. De ahí que sea tan pesado con que tengamos todos los dispositivos actualizados siempre.
  • Sigue siendo necesario un ataque local: En ordenadores, y por cómo están diseñados sus sistemas operativos, la cosa cambia ligeramente, pero en móviles esto se me antoja prácticamente imposible. Ya tiene que ser una campaña de phishing muy bien orquestada para que la víctima acepte realizar tantísimos pasos para instalar una app. Otra cosa bien distinta es que la app le llegue con una excusa lo suficientemente buena como para que trague. En la mayoría de casos, sin embargo, será necesario que el usuario tenga acceso físico al terminal durante al menos un par de minutos. También es cierto que acogiéndonos al uso esperable de una herramienta como ésta (de nuevo, uso personal, control parental o control corporativo), no deberíamos ni tan siquiera plantearnos esta problemática.

Y pese a todo, es posible obtener muchísima pero muchísima información del usuario. Esas capturas de pantalla pueden acabar sacando una imagen de nuestra aplicación bancaria, grabar conversaciones enteras por servicios de mensajería/llamadas, podrían sacar una fotografía mientras consultamos algo en el baño, y como no, descubrir posibles infidelidades o negocios turbulentos que sirvieran al atacante para extorsionarnos.

Por supuesto, la herramienta también puede ser utilizada para vigilar lo que hace nuestro pequeño, evitando que éste acabe siendo engañado por un tercero y vea comprometida su seguridad en la red. O monitorizando el uso que dan nuestros trabajadores al dispositivo de la compañía en aquellos países en los que esto es legal.

Al final no deja de ser una herramienta, que ni es buena ni es mala. Depende, como bien dejan claro en su política de uso, del uso que le acabemos dando. Desde uno puramente académico, como ha sido éste, a uno proteccionista con un menor a nuestro cargo, hasta otros que según la legislación de cada país pueden ser o no considerados delictivos.

Desde la interfaz web, para terminar, podemos eliminar los datos del dispositivo almacenados (se guardan sino hasta 30 días, a no ser que los archivemos) y/o el acceso al propio dispositivo, dejando inservible la app, que en caso de que esté oculta, seguirá pululando por el dispositivo del usuario sin capacidad de comunicación con el centro de control.

 

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve en tu día a día, piensa si te merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias