Hay una gran cantidad de software para sistemas operativos móviles que proporcionan cifrado de extremo a extremo. ¿Cuál es la mejor manera de decidir cuál es confiable si su fuente no se revela? ¿Invertir los archivos android .apk de ingeniería o intentar monitorear el tráfico de red?
La supervisión del tráfico de la red es una forma de ver lo fácil que puede ser romper el cifrado, pero no le dirá qué tan segura es la aplicación, y solo si eligen un estándar muy débil Encuentras algo de interés. Más bien, el mayor riesgo es una aplicación que renuncie a las claves de una manera específica (ya sea de forma local o remota) para permitir las escuchas ilegales. Esto es imposible de saber a menos que tenga la fuente completa de la aplicación y todo lo demás que se ejecute con privilegios en el teléfono (que podría detenerse en la aplicación). El equipo detrás de Signal (sistemas Open Whisper) publica su código fuente a través de Github.
En mi opinión, la mejor forma de decidir cuál es la más confiable es recurrir a auditorías profesionales externas. Si la fuente está cerrada y, además, no se han realizado auditorías, es realmente difícil probar la implementación correcta del cifrado, la ausencia de errores y puertas traseras y los puntos débiles en el diseño.
Si desea auditar la aplicación usted mismo, la reversión de la apk y el monitoreo y análisis del tráfico deben ser parte del proceso.
Para obtener más información sobre las aplicaciones de comunicación auditadas, consulte el cuadro de mandos de mensajería segura EFF: enlace
Lea otras preguntas en las etiquetas encryption android