How confidential are your calls

XCell Seguridad

De-Googled Android​

Icono de blog escrito por XCell Technologies
Calendar icon

Publicado el 12 julio 2021

Teléfonos móviles Android sin Google​

Sí, lo sabemos: Google se dedica a la vigilancia masiva.

Sí, lo sabemos: Sensorvault de Google es el verdadero Big Daddy.

Sí, lo sabemos: Esto es preocupante para nuestra privacidad.

Sí, lo sabemos: Google está rastreando todos los movimientos de nuestros clientes a través de nuestros teléfonos Android y servicios asociados.

Sí, lo sabemos: Google comparte datos de localización con las fuerzas de seguridad.

Y, por último, sí, lo sabemos: todos queréis deshaceros de las aplicaciones de Google de vuestro smartphone Android, por una serie de razones en las que preferimos no entrar. No cabe duda de que todas estas razones son suficientes para encontrar una forma de eliminar Google.

Pero, ¿puedes realmente eliminar Google de tu smartphone Android? ¿Y sirve realmente para proteger la privacidad y la seguridad de los usuarios? A nosotros no nos convence.

¿Qué es un teléfono móvil de-googled?

Un teléfono degoogled es un smartphone, un teléfono móvil que probablemente ejecuta Android sin los componentes de Google.

Android es un sistema operativo compuesto por dos componentes principales:

  1. La parte de código abierto se llama AOSP (Android Open Source Project), que es -bueno- “código abierto”. Cualquiera puede descargarlo y utilizarlo como desee.
  2. El segundo componente o parte es la parte propietaria de Android, que incluye Google Play Store, Google Play Services, Google Carrier Services y montones de componentes que hacen que un “Teléfono Android propietario de Google” funcione como a todos nos gusta, amamos y odiamos: como el Pixel propietario de Google, Samsung, LG, HTC y muchos más. Google licencia esta parte de Android a todas estas empresas.

En primer lugar, desgootizar tu smartphone también tiene algunas desventajas. Los efectos secundarios van desde la pérdida de toda la comodidad a la que está acostumbrado de su teléfono a una sensación completamente falsa de privacidad que un teléfono degoogled da.

Hay muchas cosas que dejan de funcionar después de haber desgooglizado el smartphone. Para recibir notificaciones, tienes que descargar e instalar un servicio, porque las notificaciones vienen de Google (así que Google puede leer todo el contenido de la notificación, espeluznante). Para ver las notificaciones, tienes que abrir la aplicación, lo que significa que las notificaciones son bastante inútiles. Sólo se ofrecen funciones básicas, lo que no significa necesariamente que se proteja la privacidad. Estos componentes de Google ofrecen al usuario una experiencia especial que ahora echará de menos.

Muchas aplicaciones dependen de los servicios de Google. Esto significa que muchas simplemente se bloquean o funcionan muy lentamente.

Un teléfono des-googled necesita ser reiniciado de vez en cuando porque se vuelve insoportablemente lento cuando se utilizan aplicaciones como Telegram.

A pesar de todos los esfuerzos, nunca se puede estar seguro de que el teléfono deshabilite completamente la telemetría (por ejemplo, Samsung y Huawei). Se trata de un dispositivo de código cerrado que incluso puede contener un chip especial para esta tarea.

La mejor opción sería no utilizar el teléfono, lo que sería deseable para algunas personas, pero lamentablemente no es posible debido a su estilo de vida actual.

¿Cómo puedo desprogramar mi Android?

En 2 sencillos pasos:

  1. Primero tienes que desbloquear el bootloader. Esto lleva un poco de tiempo y puede causar daños a su dispositivo. Si decides hacerlo, lee las instrucciones varias veces. Así estarás seguro de que sabes exactamente lo que estás haciendo.
  2. Necesitas flashear una nueva ROM, por ejemplo LineageOS. Eso es más o menos todo lo que necesitas. Pero…

Las ROMs gratuitas de Android de Google sólo se publican para la mayoría de los dispositivos en forma de “nightlies”, que son versiones (más o menos) inestables. Con una nightly, el trabajo del día en un ordenador se compila en una versión y se distribuye a los dispositivos. No es necesario actualizar a cada versión Nightly. Tampoco es realmente recomendable a menos que solucione un problema urgente con su dispositivo actual. Ejemplos de estos problemas son una cámara rota o solucionar problemas con el GPS. Tenga en cuenta que esta experiencia puede variar de un dispositivo a otro.

También es una extraña sensación de libertad. Llámalo placebo o como quieras. Pero esta sensación de libertad aparece de algún modo en cuanto todo funciona.

¿Debería probarlo?

Es una pregunta curiosa. Porque no sabemos lo tolerante que eres cuando se trata de piratear sistemas, o lo enfadado que te pones cuando algo no funciona. Pero si tienes muchas ganas de usar Android sin los servicios de Google, entonces deberías hacerlo. Aprende cómo desbloquear el bootloader, rootear tu dispositivo e instalar F-Droid desde el apk.

Diga adiós pero hasta luego. Empieza la diversión

Si retrocedemos un poco en el tiempo, todos sabremos que el sistema operativo Android fue desarrollado por Google para ser utilizado principalmente en dispositivos con pantallas táctiles: teléfonos móviles y tabletas. El código fuente de Android se publica en formato de código abierto. Con ello se pretende promover estándares abiertos para los dispositivos móviles. Sin embargo, a pesar de publicarse como “código abierto” (AOSP), Android sigue siendo un software propietario que viene incluido en las ventas de teléfonos móviles. Por eso intentan eliminar a Google de ….. Google. ¿Le parece lógico?

No es posible eliminar la parte AOSP

Las aplicaciones básicas de comunicación, como el teléfono, los mensajes, los contactos, etc., forman parte de AOSP y… ¡Google!

La mayoría de las ROM personalizadas vienen con aplicaciones básicas de comunicación como teléfono, mensajería y contactos preinstaladas. Estas aplicaciones siguen siendo componentes de Google. Así que sigues utilizando aplicaciones desarrolladas por Google para tus comunicaciones “privadas”. ¿Recuerdas la última vez que tuviste una conversación telefónica sobre un tema determinado? Unos minutos más tarde, Google mostró un banner publicitario sobre el mismo tema del que estabas hablando por teléfono. ¿Sorprendido? No debería: Google husmea en tus conversaciones telefónicas. Y luego te envía anuncios basados en palabras clave seleccionadas. Sí, en tu smartphone “desgoogleado”.

Estas aplicaciones, desarrolladas por Google, forman parte del Android Open Source Project (AOSP) en muchas ROM. Así que, desde un punto de vista técnico, sigues utilizando un producto de Google. Esto significa que tu teléfono de-googled no está tan de-googled como crees.

Seamos realistas, de código abierto o no. ¿Cuántos de ustedes tienen la capacidad de buscar vulnerabilidades apk? ¿Cuántos de ustedes pueden hacer pentest? Y sí, hay ataques remotos (exploits remotos) para todas estas aplicaciones de código abierto.

El teléfono, los mensajes y los contactos se incluyen como archivos APK en todos los smartphones Android. Cada aplicación instalada es vulnerable a una serie de exploits remotos, utilizados tanto por hackers experimentados como por las fuerzas de seguridad (con o sin abuso). La inyección remota de código es uno de estos métodos. Un ejemplo claro:

¿Qué se consigue con un teléfono sin google?

Muy sencillo: tienes privacidad. Bueno, algo así.

Pero no el tipo de privacidad que esperas. Y no al 100%.

Y lo que es más importante, no obtienes ninguna seguridad adicional. Y esa debería ser tu principal preocupación. Porque privacidad no es sinónimo de seguridad.

degoogle broken lock

¿Cuánta privacidad ofrece un móvil sin Google?

La privacidad de un teléfono desgoogleado termina en cuanto empiezas a instalar aplicaciones. He aquí por qué:

Cualquiera que compre un teléfono degoogled y descargue aplicaciones estándar como Waze, Yelp o Uber volverá a ser rastreado por Google.

¿Qué pasa con las aplicaciones de código abierto que pueden descargarse de proveedores distintos de Google Play? Casi todas las aplicaciones incluyen al menos un rastreador. No se trata sólo de rastreadores de Google. Son rastreadores que envían al menos algunos datos analíticos al desarrollador. Y sí, se trata de datos que no quieres compartir con otros.

Con Exodus tienes la posibilidad de comprobar en línea todos los rastreadores de las aplicaciones de Google Play. Lo hemos hecho por ti. Con algunas aplicaciones notoriamente seguras utilizadas a diario por usuarios preocupados por la seguridad, resulta que casi todas las aplicaciones tienen al menos un rastreador:

Muchos usuarios de teléfonos degoogle creen que la privacidad de su teléfono está garantizada porque el teléfono no tiene identidad. Un teléfono degoogled está configurado para tener un ID de Google falso, de modo que el teléfono nunca necesita ser identificado, incluso cuando las aplicaciones y la información se envían a los servidores Firebase de Google, no tienen su identidad real. Este planteamiento es completamente erróneo, porque falta una cosa: como todo el mundo sabe, cada teléfono tiene al menos otra, el IMEI, además del ID de Google. Y sí, el teléfono sigue conectado a Google incluso con un ID falso. Google obtiene una huella digital del dispositivo y sabe qué aplicaciones se han cargado desde Google Play. Google no es informado acerca de sus aplicaciones F-Droid.

blank

¿Hasta qué punto es seguro un teléfono sin Google?

Cero seguridad. Nada. Nada.

Porque privacidad no es lo mismo que seguridad. Un teléfono degoogled es igual que cualquier otro teléfono de Google en términos de seguridad. Tu teléfono degoogled tiene las mismas vulnerabilidades a exploits remotos, virus, spyware, etc. que cualquier otro teléfono Android. Eliminar Google no añade una capa extra de seguridad.

Sin embargo, el principal problema con la seguridad de los teléfonos móviles no es Google, sino el software espía del gobierno que no se preocupa por los teléfonos degoogled: Estos teléfonos pueden ser rastreados como cualquier otro teléfono móvil, sin distinción. Y sí, un teléfono degoogled puede ser vigilado, intervenido y abusado como cualquier otro teléfono móvil.

Cero seguridad significa:

  • Cualquier teléfono móvil desgoogleado es 100% vulnerable a los programas de espionaje del gobierno que revelan no sólo la geolocalización del teléfono, sino también todos los datos personales y la interceptación de llamadas y SMS.
  • Cualquier teléfono móvil desgoogleado puede ser rastreado en cualquier momento a través de SS7, tanto por piratas informáticos como por agentes estatales.
  • Cualquier teléfono móvil sin google puede ser localizado por GSM interceptor con función de seguimiento.
  • Cualquier teléfono móvil desgoogleado puede ser localizado por el operador de red en cualquier momento. Los datos de geolocalización se comparten con las autoridades policiales.
  • Cualquier teléfono móvil desgoogleado puede ser intervenido en cualquier momento por diversos medios.
geofence warrant

EL GRAN ERROR

Los smartphones desgoogleados siguen siendo vulnerables a la geovalla.

¿Qué es una orden de geovalla?

Una orden de búsqueda de geovalla (también conocida como orden de geovalla) es una orden de búsqueda emitida por un tribunal que permite a las fuerzas de seguridad buscar en una base de datos todos los dispositivos móviles activos dentro de un área de geovalla especificada. Los tribunales han emitido órdenes de búsqueda de geovallas a las fuerzas de seguridad para obtener información de bases de datos como Sensorvault de Google, que recopila datos históricos de geolocalización de los usuarios a través de registros GPS.

Una orden de registro de geovalla no sirve para datos de geolocalización futuros ni para datos de geolocalización en tiempo real.

Poco antes de las 17:00 horas del 20 de mayo de 2019, un hombre armado entró en un banco de Midlothian, Virginia, obligó a un empleado a abrir una caja fuerte y huyó con 195.000 dólares. Las imágenes de seguridad mostraron al hombre acercándose un teléfono móvil a la oreja justo antes del atraco, un detalle que llevó a la policía a probar una técnica de vigilancia cada vez más popular entre las fuerzas de seguridad estadounidenses.

Cuando las autoridades aún no habían identificado al sospechoso varias semanas después del atraco, un agente obtuvo una orden de búsqueda de los datos de localización de Google de todos los teléfonos móviles que habían estado cerca del banco Call Federal Credit Union durante el atraco. A partir de una lista de 19 cuentas, los investigadores pudieron limitar su búsqueda a un hombre de Richmond de 24 años llamado Okello Chatrie, al que finalmente acusaron de robo a mano armada.

La solicitud de datos de Google, conocida como orden de geovalla, es una forma que tienen las fuerzas de seguridad de aprovechar la enorme cantidad de información que la empresa recopila sobre sus clientes. Las órdenes permiten a la policía rastrear a casi cualquier persona que utilice un dispositivo Android o una aplicación de la empresa -como Google Maps o Gmail- hasta una ubicación específica durante un periodo de tiempo. A medida que la policía recurre a este tipo de órdenes, el método suscita preocupación entre los defensores de la privacidad, que afirman que el gobierno está recopilando información de las personas en violación de la Cuarta Enmienda, que protege contra los registros irrazonables.

Basándose en historias reales como la anterior, los usuarios de Android piensan que eliminar los componentes de Google de sus teléfonos Android hará que esos teléfonos sean “invisibles” para Google. Y, por tanto, invisibles para las fuerzas de seguridad. Una conclusión muy equivocada.

He aquí por qué: Las órdenes Geofence no suelen emitirse para los datos de localización de Google (únicamente) por una sencilla razón: no todo el mundo utiliza un teléfono Android. Si este es el caso, un ladrón que utilice un teléfono tonto o un iPhone escapará fácilmente, lo que no es el caso.

La policía utiliza lo que llaman un “cell dump“. Un “cell dump” es el intercambio de información de identificación por parte de un operador de torres de telefonía móvil que puede utilizarse para identificar dónde se encontraba una persona concreta en un momento determinado. Cuando los usuarios de teléfonos móviles se desplazan, sus dispositivos se conectan a las torres de telefonía cercanas para mantener una señal potente incluso cuando el teléfono no está en uso activo. De este modo, las fuerzas de seguridad tienen acceso a la geolocalización de todos los teléfonos móviles, no sólo a la de los teléfonos Android.

Y sí, los teléfonos inteligentes Android desgeolocalizados son susceptibles a las técnicas de volcado de células, al igual que cualquier otro teléfono. No hay diferencia ni privacidad real, por no hablar de seguridad.

Los smartphones des-Googleados demuestran debilidades en los procedimientos de geolocalización:

  • Son susceptibles de procedimientos de “volcado de células”.
  • Son vulnerables a los datos de localización GSM compartidos por el operador de red con las fuerzas de seguridad locales.
  • Son vulnerables a los dispositivos interceptores GSM con capacidad de seguimiento de la ubicación.
  • Son vulnerables a las técnicas de rastreo de localización SS7 utilizadas tanto por piratas informáticos como por agentes gubernamentales.
  • Son vulnerables a los pings de seguimiento de la ubicación enviados a través de la red celular local por diversos actores, desde piratas informáticos experimentados hasta organismos encargados de hacer cumplir la ley.

¿DÓNDE ESTÁ EXACTAMENTE LA PRIVACIDAD DE LA QUE HABLAS CUANDO USAS UN TELÉFONO DESGOOGLEADO?

Las órdenes de geolocalización se suelen utilizar dentro de EE.UU. porque Google es una empresa estadounidense que tiene que responder a todas las órdenes de las autoridades estadounidenses en muy poco tiempo, por no mencionar su implicación directa en varios proyectos de la NSA. La situación es muy diferente cuando se trata de organismos policiales extranjeros, a los que Google podría negarse (y suele hacerlo) cuando se le pide que revele la geolocalización de una persona situada fuera de las fronteras de Estados Unidos, simplemente porque los organismos policiales extranjeros no tienen autoridad sobre Google en esta materia.

Por este motivo, las fuerzas de seguridad extranjeras utilizan un método diferente para obtener la geolocalización de teléfonos móviles concretos: Se ponen en contacto directamente con los operadores de telefonía móvil, que deben cumplir las órdenes y mandatos judiciales locales para obtener los datos de geolocalización de un teléfono móvil concreto en un periodo de tiempo determinado. Algunas fuerzas de seguridad también pueden realizar directamente un “volcado de móviles”.

¿Por qué tener un teléfono sin google?

A la gente le gusta la idea de no estar constantemente vigilada y controlada por Google. Por eso, algunas personas piensan que Google viola su libertad y privacidad. No vamos a debatir si eso es cierto o no. El hecho es que si renuncias a las comodidades de Google, estarás libre de Google, pero tendrás que soportar un montón de molestias…. y, al final, dependes de alguien de todos modos… un tercero que te proporcione tus aplicaciones. ¿Quién es ese tercero?

Sin ánimo de hacer apología de Google: Google es una empresa estadounidense conocida y decente (¡eso creemos!). Las alternativas: bueno, confiar en Apple… lo mismo…. quizás incluso peor. O confiar en el firmware y los circuitos del fabricante del hardware real.

En esta era digital, no hay escapatoria. Las empresas de Internet, las compañías de telefonía móvil, las empresas de servicios públicos, los bancos, la agencia tributaria, el gobierno, las cámaras de la calle, tu propio coche…. te siguen, te graban, saben dónde estás, cuánto gastas, dónde, cuándo, con quién….

Así que tienes que ser inteligente con la información que compartes, cuándo, cómo, con quién…:Google se convierte en el menor de los problemas.

La geovalla garantiza restricciones

En este punto, no discutiremos las limitaciones legales de las órdenes de geovalla, sino las técnicas.

Por ejemplo, una orden de geovalla basada SÓLO en teléfonos compatibles con Google tiene varias limitaciones graves:

  • Sólo disponible para datos de localización pasados. No se puede utilizar para datos de localización futuros.
  • No tiene opción de tiempo real.
  • Está disponible casi exclusivamente para las fuerzas del orden de Estados Unidos.
  • No puede proporcionar datos de geolocalización de teléfonos que no sean de Google, como iPhones, Dumb Phones, teléfonos Linux, etc.
  • Los datos de localización no se pueden transmitir desde teléfonos que no dispongan de una conexión de datos utilizada para transmitir datos de localización a Google.
  • Sólo se recogen los datos de localización de aproximadamente el 45 – 55 % de todos los teléfonos que han estado en la zona en un determinado periodo de tiempo. Los teléfonos restantes no están equipados con Google o utilizan un sistema operativo o plataforma diferentes.

Es incomprensible que las autoridades estadounidenses sólo exijan a Google que entregue datos de geolocalización, teniendo en cuenta que la cuota de mercado de Apple en EE.UU. es del 52% (2021). Si se suman los smartphones y teléfonos tontos que no son de Google, la cuota de teléfonos de Google afectados por las órdenes de geolocalización es relativamente pequeña.

encryption

CONOCER LA DIFERENCIA ES IMPORTANTE

“Protección de datos” no es lo mismo que “seguridad”.

Existe cierta confusión entre protección de datos y seguridad de la información. El hecho de que la información sea privada no significa necesariamente que sea segura.

En un mundo en el que los consumidores son conscientes de que los datos personales se recopilan para obtener beneficios, pero la seguridad de esos datos es secundaria, una violación de datos puede arruinar la reputación y los resultados de una empresa.

Los informes semanales sobre violaciones de datos han hecho que la protección de datos y la ciberseguridad estén en boca de todos, pero la gente no sabe que hay una diferencia.

La parte más importante y la invención del hombre siempre ha sido la comunicación. Con los avances de la tecnología y la ciencia, la capacidad de comunicarnos entre nosotros se ha hecho más fácil. Podemos comunicarnos con personas a miles de kilómetros de distancia por teléfono, correo electrónico y mensajes de texto. La privacidad en la comunicación se ha convertido en un asunto de masas desde que la gente se enteró de la vigilancia masiva por parte del Estado y del almacenamiento de datos por parte de gigantes como Google. Como hay personas que no aprecian el valor de la privacidad porque “no tienen nada que ocultar”, sólo queda una preocupación principal en la comunicación: la seguridad.

¿Y los XCell Stealth Phones?

No susceptibles de geolocalización.

Con la excepción de XStealth y X-ONE, todos los XCell Stealth Phones son teléfonos móviles sin Google (feature phones), por lo que no hay problemas con el seguimiento de localización de Google.

Por lo tanto, XStealth Lite y XStealth tienen verdaderas capacidades de suplantación de ubicación GSM, junto con alertas de rastreo de ubicación para garantizar la seguridad del usuario.

Si se desea, XStealth también puede suministrarse como teléfono Android sin Google. Sin embargo, por las razones expuestas anteriormente, esto sólo se recomienda a los compradores estadounidenses. Sin embargo, la eliminación de los componentes de Google reduce la estabilidad del sistema y no hace que el teléfono sea inmune a otros tipos de rastreo de localización, como se ha descrito anteriormente.

¡Sigamos en contacto!

Estaremos encantados de informarle sobre las contribuciones y ofertas actuales.

Más artículos

ABC Limited exposed

“Enrutador WIFI 4G seguro” estafa

Siempre habrá estafadores que se aprovechen del deseo de seguridad sobrevalorando los productos normales y afirmando que tienen “funciones de seguridad”. Como en este caso… Seguir leyendo