martes, abril 22, 2014

Vídeo Conferencias en Google+, Hangouts y Privacidad

El auge de las vídeo conferencias por Internet es algo innegable y yo soy usuario habitual de ellas. Normalmente, al igual que los sistemas de mensajería, uso diferentes soluciones de vídeo conferencia para diferentes cosas, así que tanto FaceTime, como Google Hangouts, Skype e internamente un solución llamada TokBox que se usa en aplicaciones. Las uso todas ellas, dependiendo de con quién y para qué sea el uso que vaya a darle.

De todas ellas, hay una que lleva un tiempo poniéndome nervioso por las cosas que hace en torno a la privacidad y he decidido escribir este artículo para compartir con vosotros mis preocupaciones al respecto y tener más opiniones vuestras si creéis que podéis aportarme algo. Como habréis supuesto por el título es Google Hangouts.

La privacidad de la vídeo conferencia personal

Cuando yo hago un FaceTime o Skype desde el lugar más remoto del mundo con una persona, lo que espero es que esa conversación sea privada. Si le tengo que decir cosas bonitas, personales, privadas o menos bonitas no quiero tener que preocuparme de que nadie pueda conectarse sin mi permiso. De hecho, puede ser que deje el terminal cerca y hable con el altavoz mientras voy haciendo otras cosas.

Si quiero que alguien se conecte tengo que invitar explícitamente a esa persona, hacer una llamada desde la cuenta del creador de la conversación y la otra persona tendrá que aceptar la vídeo conferencia de forma explícita. Me parece lógico.

En Google Hangouts no parece que sea así. Basta con saber la URL de la conversación y podrás conectarte al Hangouts. Es decir, una vez que se crea la sala funciona de vídeo conferencia funciona de forma similar a una sala de chat donde por defecto cualquiera que conozca su URL puede conectase.

Una prueba sencilla con una vídeo conferencia personal en Google+

Cuando haces la invitación a una invitación de vídeo llamada desde una ventana de chat de Google+, en la barra superior aparece la URL de conexión que protege todo. Vamos a suponer que quisiera hacer una vídeo conferencia con una persona mientras estoy hablando en un chat privado.

Figura 1: Pidiendo una vídeo conferencia personal

Tras pulsar sobre el icono de la cámara se abrirá la URL de la vídeo conferencia, y será la única protección existente para que alguien se añada a la conversación. Si vas a otra máquina con otra cuenta de Google+ que no tenga que ver nada con ninguna de esas dos cuentas, podrás conectarte. Como podéis ver, hasta te avisa de que la llamada a la que me estoy conectado está formada por alguien que no está en mis círculos de Google+, pero aún así te deja unirte.

Figura 2: Estableciendo la llamada de vídeo conferencia con Google Hangouts

Es decir, que toda la privacidad recae en esa URL, que como veis es https://plus.google.com/hangouts/_/[ID_Canal] y un identificador de la llamada, que se crea como un canal al que uno se conecta de forma temporal.

Figura 3: Si tienes la URL, te puedes unir a la vídeo llamada

De hecho, cuando se crea una vídeo llamada para conectar a múltiples personas lo único que se envía es esa URL, lo que deja claro que la única privacidad es que alguien conozca la URL o no.  Cuando entre verá y oirá lo que esté sucediendo allí en ese momento... sea lo que sea.

Figura 4: Creación de una vídeo llamada múltiple con compartición de URL

Al final, la única diferencia entere una vídeo conferencia múltiple y una vídeo llamada personal desde el chat es que la URL se comparte directamente por el cliente de chat y no por correo electrónico, pero el sistema es el mismo.

La privacidad de la vídeo conferencia múltiple

Una de las cosas que he visto que muchas empresas utilizan es ese canal de Google Hangouts como una canal de chat para debatir cosas periódicamente. Por ejemplo, muchas empresas, grupos u organizaciones generan un canal Google Hangoust que re-utilizan constantemente para reuniones periódicas. En ese caso el Google Hangouts funciona como un evento, y su URL es algo como https://plus.googel.com/hangouts/_/events/[ID_Canal]

Figura 5: URLs de Google Hangouts indexadas en Google


La gracia es que ese canal perdura y siempre te puedes conectar a él. Si por casualidad esa URL cae en las manos de una araña de un buscador, podría ser indexada y aparecer en los resultados de alguien que estuviera haciendo hacking con buscadores. De hecho, hay muchas URLs de eventos que han tenido lugar en Google Hangouts indexadas y te puedes conectar a ellas. Siguen vivos los canales.

Figura 6: El canal sigue vivo aunque no haya nadie

Si usas Google Hangouts para reuniones múltiples privadas, ten cuidado no dejes la URL a la vista de las arañas de los buscadores, para que no se conecten visitantes inesperados al canal.

Saludos Malignos!

4 comentarios:

  1. Me he quedado de piedra. Vaya cagada de Google.

    Buen trabajo Maligno. Así, sí :)

    ResponderEliminar
  2. A cuadros me he quedado.
    En la primera pagina ya me he topado con una conversación :/, esperemos que indexada a conciencia porque fuera publicada de manera intencionada de manera publica.

    La verdad que esto tampoco es tan grave pero... debería existir la figura de moderador que permita aceptar peticiones externas no autorizadas.

    Lo bueno es que esto puede servir para tener salas permanentes bastante útiles sin ligarlas a chats ni otros medios solo guardando esa url la cual pensaba que siempre era autogenerada y luego eliminada.

    P.D.: Revisar las faltas del post ;)

    ResponderEliminar
  3. Creo que me han hecho una vídeo llamada falsa haciéndose pasar por otra persona! Eso puede ser factible?

    ResponderEliminar
  4. Tengan cuidado en Instagram te contactan perfiles chicas o chicos para hacer sexcam x Hangouts si aceptan todo el que esté en esa URL como ya explicaron lo veran.luego no sé quejen si los extorsionan jejeje.

    ResponderEliminar