De un tiempo a esta parte se ha hecho muy conocida la larga lista de posibilidades no éticas que ofrece la aplicación de whatsapp en cualquiera de sus versiones. Lo que se le critica, y efectivamente, esto es asi, es que :
Y sigo hablando sobre WhatsApp, y sobre todo sobre el último punto. Sobre el primero un día hablaré de las posibilidades que ofrece como secuestrar un usuario(hacer que seamos nosotros quien reciba sus mensajes), cambiar su estado, etc…
Sobre el segundo punto , uno podría preguntarse. ¿ Y cual es el problema? Si tiene acceso al teléfono, ya puede consultar dichos mensajes a través de la propia aplicación. Esto es cierto, pero con estos ficheros podemos ir más allá. Las aplicaciones Android almacenan sus configuraciones y logs en un formato de base de datos conocido como SQLite. Pues bien si este fichero lo abrimos con algún gestor de base de datos veremos entre otra información una tabla con los mismos mensajes que podríamos ver a través de la aplicación. Pero si lo abrimos con un editor de texto plano podremos mirar incluso los mensajes que hayan sido borrados a través de la aplicación.
Este punto , como ya dije anteriormente era así solo al principio y después de una actualización estos ficheros ya vienen encriptados por defecto (fichero con extension .crypt)
Pero esto no finaliza la vulnerabilidad de esta aplicación en este sentido. Si el teléfono «víctima» está rooteado (algo no común en el usuario estándar, no obstante), podremos acceder a la partición raíz del sistema. Pues bien las configuraciones de las aplicaciones se almacenan en esta partición, concretamente en
/data/data/NombreAplicacion
, siendo el nombre en el formato del framework Android: a.b(.c), como por ejemplo edge.tweaks o en nuestro caso com.whatsapp. Decir que para acceder a este directorio deberemos emplear algún explorador de archivos complatible con rooted Android, como por ejemplo el ES Explorador de archivos.
Pues bien, si accedemos a esta ruta, ahí tendremos los mismos archivos que los que hablábamos que se almacenaban en la SD, y eso, sin, sin encriptar.