Informe: Lo que el gobierno no dice sobre la app CUIDAR

Presentación

Tanto desde el Frente Patriota como desde otras fuerzas opositoras se han venido realizando consideraciones críticas sobre la app CUIDAR. El gobierno nacional ha negado por su parte que la misma afecte derechos constitucionales de los ciudadanos o que se pongan en riesgo datos privados de los mismos. Al establecerse la obligatoriedad de su uso en Provincia de Buenos Aires, el distrito más poblado del país, para todas las personas con permiso de circulación por la emergencia sanitaria, se decidió encargar a la Secretaría de Sistemas de nuestro Partido un análisis estrictamente técnico sobre la aplicación y su código fuente, cuyas conclusiones desmienten lo manifestado por el oficialismo. Entendemos que es urgente una intervención parlamentaria y judicial pues, como se verá, esta app no sólo vulnera derechos básicos y afecta la privacidad de nuestra ciudadanía, sino que entrega esa información clave a entidades extranjeras, afectando además la propia soberanía de nuestro país.

Informe técnico de CUIDAR COVID-19

Se baja la aplicacion CUIDAR COVID-19 ARGENTINA de Google Play. En primer lugar se visualizan los siguientes permisos:

De los permisos Android se desprenden dos temas principales:

Ubicación: no solo utiliza la ubicación por GPS, sino por la ubicación del dispositivo dentro de la celda celular, la cual si bien posee menos precisión es lo suficientemente exacta como para rastrear al portador del aparato. Según el discurso oficial del gobierno solo tendría acceso a la geolocalización, y no a la ubicación por datos.
Cámara: este permiso no fue oficializado por el gobierno, la aplicación permite utilizar la totalidad de las cámaras del dispositivo sin avisarle al usuario que lo está haciendo.

Finalmente la aplicación fue instalada en el dispositivo:

Las aplicaciones en Android en forma nativa son hechas en Java y empaquetadas en un archivo APK, el cual es el instalador que realiza el despliegue. Para extraer la aplicación Cuidar se utilizó la aplicación gratuita APK EXTRACTOR:

Una vez obtenido el paquete, se utilizó la herramienta online JAVADECOMPILERS.COM, la cual analiza el archivo APK y lo decompila en las correspondientes clases Java. Es importante destacar que en las decompilaciones hay datos que se pierden en lo referente a nombres de variables, pero la lógica es obtenida tal cual fue codificada originalmente.

Se procede al análisis de varias clases hasta localizar la clase que realiza las actualizaciones de los datos del usuario contra un servidor situado en internet. En principio estos datos son los aportados por el propio usuario (DNI, datos filiatorios, domicilio y datos relacionados a la enfermedad COVID-19 como la medición de fiebre, estado respecto a la tos, contacto o no con personas infectadas y realización de viajes al exterior). Esta informacion es enviada al servidor api.app.covid.ar.

Esto reside en la clase com.cuidar.pasaportesanitario.data.remoto.CovidRetrofit

Ahora, como primera medida, se realiza un whois de covid.ar

Llama la atención en primer lugar, que los servidores de nombrado no sean de la infraestructura del Estado Argentino sino que pertenecen a la compañía norteamericana CLOUDFLARE. La misma está sindicada como ser responsable de dar servicio al menos a 7 agrupaciones terroristas. Abundante información es encontrada en la web, aunque lo que más compete a este caso es que una aplicación delegue la resolución de su nombre en esta organización. A modo de ejemplo de esta gravedad, podría enviar mis datos personales a través de la aplicación de mi dispositivo, sin saber si Cloudflare redirecciona o no donde debe esta información, pudiendo terminar en cualquier servidor del planeta que ellos deseen. El gobierno no tiene control del destino real de la información.

Siguiendo el análisis, se realiza un ping al servidor al cual se le envían los datos sensibles de cada ciudadano Argentino, que es api.app.covid.ar:

De esta información se desprende que los servidores a los cuales se remite la información son del dominio awsglobalaccelerator.com, cuyo whois marca lo siguiente:

Se desprende que el dominio es propiedad de AMAZON.COM, INC

Amazon posee una empresa llamada AWS, la cual permite alquilar servidores virtuales en la nube. Es muy utilizado por empresas en todo el mundo, pero desde luego no por aplicaciones de gobierno. Como ejemplo, bajo norma del BCRA, ninguna aplicación de los bancos puede estar en servidores virtuales fuera del sistema de banca, por obvias razones. Los datos sensibles para el gobierno deben permanecer en servidores físicos, en centros de computo bajo una estricta seguridad fisica, mas alla de la seguridad informática.

Con esto se concluyen varias situaciones graves:

1. La aplicación CUIDAR COVID-19 ARGENTINA, además de recolectar datos proporcionados en forma voluntaria por el ciudadano (DNI, Domicilio, estado febril, situación o no de tos, contacto con infectados, etc), también envía información basada en la ubicación, no solo por GPS sino por la ubicación aproximada según la celda celular.
2. La aplicación CUIDAR COVID-19 ARGENTINA, toma permisos para manipular arbitrariamente todas las cámaras del dispositivo, al momento con razones desconocidas pero atento a que alguna actualización pueda hacer uso de las mismas.
3. Los datos (extremadamente sensibles de cada ciudadano) son enviados a servidores de la compañía multinacional AMAZON, en lugar de utilizar la infraestructura local, que además de ser muy buena y de última generación, es la que debería ser ya que esta información no deberia salir de la red interna del país.
4. El sistema de nombrado también se encuentra bajo control de la empresa multinacional Cloudflare, esto deviene en que arbitrariamente, los datos sensibles del ciudadano pudieran viajar a cualquier servidor en el mundo, en lugar al de Amazon que ya se mostró previamente.

Ing. Julián Sosa
Secretario de Sistemas
FRENTE PATRIOTA