Lea esta investigación sobre una aplicación defectuosa de rastreo de contactos utilizada por una universidad de EE. UU.


Cuando Albion College anunció que reabriría en junio, dijo que pondría en marcha una serie de medidas de salud para ayudar a reducir la propagación de COVID-19, incluida la reducción del tamaño de las conferencias y las pruebas de virus para el personal y los estudiantes. Pero como TechCrunch informes En una nueva investigación, también introdujo una aplicación obligatoria de rastreo de contactos con una serie de problemas de privacidad. El informe destaca los problemas que enfrentan estas aplicaciones y las instituciones que las están introduciendo, y vale la pena leerlo como caso de estudio.

La aplicación, llamada Aura, está diseñada para alertar a la escuela cuando un estudiante da positivo por el virus y para informar a los estudiantes cuando pueden haber estado en contacto con otra persona que lo tiene. Pero en lugar de depender de las señales de proximidad Bluetooth locales para saber cuándo se ha producido el contacto (como El sistema de Apple y Google lo hace), Aura usa en cambio datos de ubicación, una práctica que ha sido criticada por crear problemas de privacidad. Además de ser perjudicial para la privacidad en general, el enfoque también significa que la universidad puede controlar a dónde van los estudiantes y poner restricciones en sus movimientos:

Además de tener que instalar la aplicación, se les dijo a los estudiantes que no podían salir del campus durante el semestre sin permiso por temor a que el contacto con la comunidad en general pudiera traer el virus al campus.

Si un estudiante sale del campus sin permiso, la aplicación alertará a la escuela, y la tarjeta de identificación del estudiante se bloqueará y se revocará el acceso a los edificios del campus, según un correo electrónico enviado a los estudiantes, visto por TechCrunch.

Las investigaciones también han revelado otros descuidos involuntarios de la privacidad. Se encontraron claves secretas para los servidores backend de la aplicación en el código de la aplicación, lo que permite a un investigador acceder a los datos del paciente almacenados en las bases de datos de la aplicación y el almacenamiento en la nube. TechCrunch También descubrió un problema con los códigos QR que genera la aplicación, que están diseñados para confirmar si alguien ha dado negativo o no al virus.

Nuestra herramienta de análisis de red mostró que el código QR no se generó en el dispositivo, sino en una parte oculta del sitio web de Aura. La dirección web que generó el código QR incluía el número de cuenta del usuario de Aura, que no es visible desde la aplicación. Si aumentamos o disminuimos el número de cuenta en la dirección web en un solo dígito, generó un código QR para la cuenta Aura de ese usuario.

En otras palabras, debido a que pudimos ver el código QR de otro usuario, también pudimos ver el nombre completo del estudiante, el estado del resultado de la prueba COVID-19 y la fecha en que el estudiante fue certificado o denegado.

Aunque desde entonces los desarrolladores de la aplicación han solucionado estos problemas más graves, un investigador de seguridad citado por TechCrunch dijo que señalaron que la aplicación era un «trabajo urgente». El incidente plantea serias dudas sobre el software de rastreo de contactos que se está implementando en otras instituciones de todo el mundo, y TechCrunch’s investigación arroja una luz importante sobre los problemas que puede causar.



Fuente: The Verge

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies, puedes ver aquí la Política de Cookies