StopCOVID, un completo desastre que confirma que los gobiernos no son de fiar

La aplicación de rastreo de contactos del Gobierno de Francia confirma todo lo que se sospechaba: es un desastre en cuanto a funcionalidad y un peligro en cuanto a la privacidad de sus usuarios. Una chapuza que esperemos sirva de ejemplo para que otros no caigan en el mismo error.

Ya os hemos hablado del proyecto que Apple y Google han realizado de forma conjunta y que ha terminado con una API que han puesto a disposición de los gobiernos de todo el mundo para el desarrollo de una aplicación de rastreo de contactos que garantice al máximo la privacidad y que por supuesto funcione como debe. A pesar de haberlo puesto en bandeja, algunos gobiernos, Reino Unido y Francia a la cabeza de ellos, han criticado duramente a estas dos compañías por querer imponer su API y han decidido hacer la guerra por su cuenta. El resultado no puede ser peor, como demuestra la aplicación StopCOVID que el gobierno francés acaba de lanzar y que es un completo desastre. Y cuando digo desastre no hablo sólo de su funcionamiento, sino también en cuanto a la privacidad de los usuarios, como demuestran varias auditorías realizadas ya que la app es de código abierto y está disponible para su análisis.

Uno de los análisis más interesantes de la aplicación StopCOVID y que usa un lenguaje más claro para los que no conocemos el desarrollo de aplicaciones es el realizado por Nadim Kobeissi (enlace) en el que además se citan varios análisis realizados por organismos oficiales. Os resumo los fallos y problemas de privacidad más importantes que se citan en este artículo:

  • El uso del Bluetooth que realiza esta aplicación no es útil para conoce ala distancia exacta a la que te encuentras de otra persona.
  • En dispositivos iOS, por no usar la API de Apple-Google, el Bluetooth se desactiva en cuanto cierras la aplicación, la dejas en segundo plano o apagas la pantalla del iPhone, por lo que StopCOVID es completamente inútil en el iPhone.
  • La aplicación no resuelve un grave fallo de seguridad con el Bluetooth que la API de Apple y Google sí soluciona, por lo que cualquiera que use esa app es vulnerable a ese fallo.
  • A pesar de que el gobierno francés asegura que no se requiere la geolocalización, la aplicación solicita el permiso para usar el GPS y poder localizarte.
  • La aplicación requiere el registro del usuario (¿no era anónima?)
  • Durante el registro del usuario se usa el sistema ReCaptcha de Google, que envía tu IP y agente de usuario a Google, es decir, tu anonimato está absolutamente fulminado.

En el artículo se cita el informe de Iria (Institut National de Recherche en Informatique et en Automatique) que es un centro de investigación francés especializado en Ciencias de la Computación, teoría de control y matemáticas aplicadas. Las conclusiones a las que llega son devastadoras en cuanto al respeto a la privacidad de los usuarios asegurando que no se cumple ninguno de estos requisitos:

  • Los datos deben ser anónimos
  • Debe ser imposible determinar quién contagió a quién
  • Debe ser imposible determinar si una persona está enferma o no
  • Es imposible lanzar falsas alarmas
  • El uso de Bluetooth no debe ser un problema de seguridad
  • Debe ser imposible acceder a los datos a gran escala

Un comentario, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   Root dijo

    Es muy lamentable!