Existe vulnerabilidad en la App obligatoria del gobierno.

Entre todos los últimos anuncios que realizó Alberto Fernández respecto a cómo continuará la cuarentena en Argentina, el máximo mandatario destacó el uso obligatorio de la aplicación “CuidAr”, la app gratuita del Ministerio de Salud que permite realizar un autocontrol y llevar siempre el certificado de circulación. De hecho, Alberto destacó que será de uso obligatorio para las y los trabajadores de actividades exceptuadas que circulen por la vía pública.

El anuncio tuvo impacto en lo político. La mesa nacional de Juntos por el Cambio expresó su preocupación por el anuncio del Gobierno respecto a la obligación de uso de la aplicación CuidAR los ciudadanos que vuelvan al trabajo y tengan permiso de circulación, en la nueva fase de la pandemia del coronavirus en Argentina. A través de un comunicado, señalaron que si bien “la tecnología puede ser muy útil en esta fase de la pandemia, para rastrear posibles contactos de los contagiados y, llegado el caso, aislarlos”, es preocupante “el uso que el Gobierno pueda darle a esta enorme cantidad de datos sobre los ciudadanos a los que tendrá acceso”.  Alfredo Cornejo, Patricia Bullrich y Maximiliano Ferraro propusieron la creación de un “comité de expertos” para analizar la aplicación desde su código fuente, junto con “la presencia de fiscales informáticos en los centros de monitoreo que alimente esta aplicación”.

Surgieron alrededor de la app varias criticas. Se habló de un tema crítico de integridad: es relativamente accesible hacerse pasar por otra persona. Esto puede derivar en problemas graves dado que cada autodiagnóstico se considera declaración jurada y posible delito si es falso. En este mismo sentido,  no hay forma de editar o revisar la declaración jurada del autodiagnóstico antes de enviarla. Al no haber rectificación posible, se pueden generar errores humanos que deriven en permisos cancelados.

La app solicita los siguientes permisos: por un lado, la Cámara (para escanear DNI en lugar de tipear), la ubicación geográfica de red y de GPS (intenta siempre la máxima precisión posible), almacena latitud, longitud y altura y por último la ubicación en segundo plano (para seguimiento constante). Los celulares modernos, por ejemplo iPhone o un Android mayor a versión 7.0 es posible no dar estos permisos a la app y, en principio, parecería que por ahora se puede usarla igual. Pero para Android 5 o 6 todos los permisos están aprobados por defecto en la instalación.

La aplicación haría escaneos ubicación con cada diágnostico (cada 48 horas) aunque esos scaneos aumenta a cada 15 minutos si la persona se considera infectada.

De todos estos datos, y otros más, se generará una base que según la información oficial (la resolución de la Jefatura de Gabinete 3/2020) se vería de la siguiente manera.

Recientemente, además, se denunció en redes sociales que la app tendría una vulnerabilidad en un procedimiento para proteger los datos enviados por los usuarios. Según usuarios de reddit, se trata de un un bug en la generación de un token (una contraseña) de validaciónde un solo uso asociado al dispositivo. De esta manera, el 2FA (autenticación de dos factores) sería predecible. Eso hace posible que alguien con un par usuario/password te pueda impersonar en los servidores remotos de la aplicación a cualquier persona sin tener físicamente acceso al teléfono.

Los desarrolladores de la aplicación, la empresa privada Globant, habría usado una librería llamada Kotlin One-Time Password Library que está disponible en Github.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: