La semana pasada recogíamos una noticia sobre Mobdro, la popular aplicación alternativa a Kodi que algunos dispositivos traen precargada. La Digital Citizens Alliance (DCA) elaboró un informe en el que descubrió que la app estaba robando información de los dispositivos multimedia con Android, incluyendo la contraseña de las redes WiFi. Ahora, la compañía ha salido en su defensa ante tales acusaciones.

Mobdro no lee contraseñas WiFi ni puede acceder a otros archivos locales

Según afirmaban los investigadores, la app, además de robar contraseñas WiFi, enviaba archivos multimedia del dispositivo y de otras aplicaciones que estuvieran almacenadas de manera local, junto con otro tipo de actividades no autorizadas por el usuario. Mobdro se ha defendido negando todas estas acusaciones.

En primer lugar, la compañía afirma que es imposible que puedan leer las contraseñas WiFi de los dispositivos donde se usan porque el dispositivo tiene que estar rooteado para hacerlo, y la app de Mobdro no pide permisos de root. Además, una app no puede leer archivos que estén fuera de su directorio, y mucho menos para la carpeta /data, ya que se necesita root para acceder a esos archivos. En el caso de que tengas root, Mobdro te pediría permiso de root antes de acceder a esa carpeta.

El único permiso que pide actualmente Mobdro es acceder al almacenamiento externo, y hasta hace poco también pedían permiso para la ubicación. El de almacenamiento externo se usa para guardar actualizaciones, ya que es necesario para guardar un APK cuando se descarga una app de fuera de la Play Store, como es el caso de Mobdro. A su vez, también se usa para reproducir el contenido que tenga almacenado el usuario.

Tampoco envían comandos de manera remota a través de streaming piratas

Otra de las críticas que emitieron sobre la app es que ésta cifra todos los datos y comandos, lo cual hacen para evitar que copien la app y creen versiones modificadas con malware incluido (algo que ocurre con bastante frecuencia). Para activar estas protecciones, enviaban un comando para detectar el toolkit Frida, usado por los crackers para eliminar el certificado SSL que usan para comunicarse con los servidores. Actualmente la app ya no incorpora esas medidas porque descubrieron un método que hace que sea casi imposible romper la protección SSL de la app.

Relativo a los comandos remotos, la DCA decía que hacer streaming de una película pirata permitía enviar comandos de ejecución de código en la app para robar datos, lo cual no tienen ningún sentido en palabras de la propia Mobdro, ya que lo único que se ejecuta para abrir un vídeo es un reproductor que usa FFmpeg.

Por último, también se defienden de la crítica que decía que un atacante podía usar nuestro dispositivo para navegar haciéndose pasar por nosotros. Esto es relativo al modo sin anuncios de Mobdro, que a cambio hace que el usuario acepte formar parte de la red Luminati para ser usado como VPN. Este modo hay que activarlo, ya que por defecto viene con el modo anuncios.

En definitiva, vemos que la DCA ha intentado atribuir a Mobdro diversas funcionalidades relacionadas con la piratería para asustar lo máximo posible a los usuarios, y desde la propia empresa se defienden de todas las acusaciones afirmando que ningún antivirus ha detectado actividad extraña en la app.