L'aplicació de rastreig de contactes de Govern de França confirma tot el que se sospitava: és un desastre pel que fa a funcionalitat i un perill pel que fa a la privacitat dels seus usuaris. Un nyap que esperem serveixi d'exemple perquè altres no caiguin en el mateix error.
Ja us hem parlat de el projecte que Apple i Google s'han realitzat de forma conjunta i que ha acabat amb una API que han posat a disposició dels governs de tot el món per al desenvolupament d'una aplicació de rastreig de contactes que garanteixi a l'màxim la privacitat i que per descomptat funcioni com cal. Tot i haver-ho posat en safata, alguns governs, Regne Unit i França al capdavant d'ells, han criticat durament aquestes dues companyies per voler imposar la seva API i han decidit fer la guerra pel seu compte. El resultat no pot ser pitjor, com demostra l'aplicació StopCOVID que el govern francès acaba de llançar i que és un complet desastre. I quan dic desastre no parlo només del seu funcionament, sinó també pel que fa a la privacitat dels usuaris, com demostren diverses auditories realitzades ja que l'app és de codi obert i està disponible per a la seva anàlisi.
Un de les anàlisis més interessants de l'aplicació StopCOVID i que fa servir un llenguatge més clar per als que no coneixem el desenvolupament d'aplicacions és el realitzat per Nadim Kobeissi (enllaç) En què a més es citen diversos anàlisis realitzades per organismes oficials. Us resumeixo les fallades i problemes de privacitat més importants que se citen en aquest article:
- L'ús de l'Bluetooth que realitza aquesta aplicació no és útil per coneix ala distància exacta a la que et trobes d'una altra persona.
- En dispositius iOS, per no usar l'API d'Apple-Google, el Bluetooth es desactiva pel que fa tanques l'aplicació, La deixes en segon pla o apagues la pantalla l'iPhone, per la qual cosa StopCOVID és completament inútil en l'iPhone.
- L'aplicació no resol un greu error de seguretat amb el Bluetooth que l'API d'Apple i Google si soluciona, de manera que qualsevol que faci servir aquesta app és vulnerable a aquest error.
- Tot i que el govern francès assegura que no es requereix la geolocalització, l'aplicació sol·licita el permís per utilitzar el GPS i poder localitzar-te.
- L'aplicació requereix el registre d'l'usuari (¿No era anònima?)
- Durant el registre de l'usuari es fa servir el sistema ReCaptcha de Google, que envia la teva IP i agent d'usuari a Google, És a dir, el teu anonimat està absolutament fulminat.
En l'article es cita l'informe de Iria (Institut National de Recherche a Informatique et a Automatique) que és un centre de recerca francès especialitzat en Ciències de la Computació, teoria de control i matemàtiques aplicades. Les conclusions a què arriba són devastadores pel que fa a el respecte a la privacitat dels usuaris assegurant que no es compleix cap d'aquests requisits:
- Les dades han de ser anònims
- Ha de ser impossible determinar qui va contagiar a qui
- Ha de ser impossible determinar si una persona està malalta o no
- És impossible llançar falses alarmes
- L'ús de Bluetooth no ha de ser un problema de seguretat
- Ha de ser impossible accedir a les dades a gran escala
És molt lamentable!