El gobierno y la subtel están en plena campaña de “información publica” para comunicar la nueva forma de marcar números telefónicos en chile.

mobapp_android

Para eso y dentro del marco de promoción de la campaña a la gente del gobierno se les ocurrió la idea de crear una app que al descargarla en tu smartphone, esta actualiza automáticamente todos los números en tus contactos parra que puedas seguir llamando sin problemas y te ahorres el tiempo de cambiar los números uno a uno :) .

La app por supuesto apareció en los medios más importantes del país y la gente empezó a descargarla. De hecho en diarios como la tercera podemos ver que usuarios la “recomendaban”.

Captura de pantalla 2016-01-29 a las 10.49.52 1

Lo que parecía una simple app para cambiar los números de tu teléfono, en realidad era una app super insegura.

El tema es que un par de hackers chilenos decidieron “revisar” la app más a fondo y se sorprendieron con una serie de “permisos extraños ” que te exigía la app para poder funcionar.

Osea lo que parecía una simple app para cambiar los números de tu teléfono, en realidad era una app super insegura. ya que aparte de pedir datos “sensibles” y “privados” de tu celular estos se enviaban sin seguridad por toda la internet.

En resumen y gracias a los post de Zerial y Spect estos son algunos problemas de la app en sus propias palabras:

Hay una serie de cuestionamientos sobre esto.

  • El primero es que las estadísticas no son enviadas a la Subtel, sino a la compañía desarrolladora de la aplicación, Cursor S.A, tal como lo demuestra este fragmento de código

    var url_server = 'http://portabilidad.cursor.cl/api/';


    // factory para manejar el servicio de temporada
    angular.module('app.resource', ['ngResource']).factory('Estadisticas', function($resource) {
    return $resource(url_server+'estadisticas');
    });
  • Segundo, no son enviados usando un protocolo seguro como HTTPS.
  • Tercero, y que ha llamado bastante la atención durante la discusión, ¿para qué es necesaria la información geográfica de quién actualiza sus números?.

— Vía Spects

Para comprobar que realmente la aplicación envia esta información, la instalé en un ambiente controlado y analicé el tráfico que genera, pudiendo confirmarlo.
Desde mi punto de vista, todo lo que he expuesto aqui tiene varios problemas:

  • El disclaimer o términos y condiciones no habla sobre la empresa Cursor
  • Los datos, si bien no son “datos personales” como tal, si atentan contra la privacidad del usuario, por ejemplo la ubicación GPS.
  • Siendo una aplicación hecha con recursos públicos, no te da la opcion de usarla sin que tus datos sean enviados a una empresa privada.
  • Se desconoce las políticas de seguridad y privacidad de aquella empresa que almacena y procesa la informaciónLa información es enviada en texto plano, es decir sin ningun mecanismo de cifrado.

— Vía Zerial

En resumen, no la bajes, porque a pesar de que medios “súper serios” como “Emol” digan que la app es “segura“, la verdad que aún hay procesos no muy claros.

Además que un gobierno envié por internet los datos privados de sus ciudadanos sin encriptación no es raro, es de ordinarios.

Silver iPhone + Alert