edición general
246 meneos
3581 clics
Radar COVID: Luces y sombras de la app de rastreo de España

Radar COVID: Luces y sombras de la app de rastreo de España

Cuatro meses después de que se empezara a hablar de ella y a un mes del anuncio de su lanzamiento como piloto en La Gomera, el código no ha sido abierto (publicado para que otros desarrolladores puedan analizarlo y garantizar su fiabilidad), no queda claro si será completamente auditable, no se ha explicado por qué en Android es necesario tener activada la localización, la ingeniera que lidera la app europea dice que no llamaría ‘colaboración’ a lo que tuvo con el gobierno español, ni ha sido posible encontrar el contrato adjudicado a Indra.

| etiquetas: radar covid , covid-19 , tecnología , software libre
Comentarios destacados:                        
«12
  1. Es falso que tenga que estar activada la localización. Es más, no pide ningún permiso. Para funcionar solo necesita el Bluetooth y, luego, el acceso a la Red para comunicar los positivos.
  2. La incompetencia de las administraciones para gestionar proyectos informaticos es desesperante.
  3. ...no se ha explicado por qué en Android es necesario tener activada la localización...

    Creo que el motivo es más que evidente
  4. Ya verás que como sean igual de transparentes con esto que con los expertos, al final va a resultar que la app es un powerpoint
  5. #2 Si es cierto lo que dices, entonces es otra metedura de pata de Newtral
  6. #2 No lo tengo tan claro... si emiten los datos utilizando beacons de Bluetooth LE, entonces sí es necesario el permiso de localización, porque Android no deja leer dichos beacons sin él. El motivo es que la idea original era poder utilizarlos para triangular tu posición en interiores.

    A menos que hayan hecho algún cambio en la API, claro.
  7. #2 la ubicación de tu móvil está siempre activa.
    Sobre todo si usas android aunque la desactives saben dónde estás.

    www.xatakandroid.com/seguridad/google-lo-admite-tu-telefono-android-si

    Yo la desactivaba y en el historial de Google Maps salía siempre dónde estaba, hasta que lo quité, aún así soy consciente de que el que tenga un móvil está geolocalizado.
  8. No le doy yo permiso de ubicación ni al accuweather
  9. #4 No exactamente... no se si sigue siendo así, pero hasta hace poco, para poder recibir beacons con Bluetooth LE, tenías que tener activa la localización. El motivo es que los beacons pueden utilizarse para triangular la posición del móvil en interiores, a base de poner unos cuantos emisores estratégicamente, y ver cuales se detectan y con qué intensidad.

    Si, como sospecho, esta app utiliza beacons, no le queda otra que pedir localización, no porque quiera usar el GPS, sino porque es necesario para poder recibir los beacons que el resto de móviles estarán emitiendo.

    Aquí la API: developers.google.com/nearby/messages/android/get-beacon-messages?hl=e
  10. #8 La ubicación estará activa o no, pero eso no significa que las aplicaciones puedan usarla. La aplicación radar Covid no la usa. En cuanto al historial de ubicaciones de maps no se guarda si no tienes activada esa opción.
  11. #7 Por esa regla de 3 todas las apps que usen Bluetooth tienen acceso a la ubicación, hasta para transferir archivos. No tiene sentido. La app no pide permiso para usar la localización ni lo tiene.
  12. #3 si no es incompetencia. Es que es un sucedaneo. Es como pedirle al choped que sepa a 5j´s...

    La app china ES OBLIGATORIA. Ademas, cruza datos de geolocalizacion y medicos.

    Ni siquiera podemos plantear legalmente eso, dejemos de esperar los resultados de la app china, por el amor de dios...
  13. #12 En absoluto: sólo necesitan ubicacion para leer los beacons, no para establecer una comunicación con un dispositivo concreto. Son cosas diferentes.
  14. Otro chanchullo más de la PSOE para hacer lo que mejor saben, robar. Como los 5 millones de guantes de látex comprados a thailandia, las mascarillas vendidas por agentes inmobiliarios al gobierno central, la compra de respiradores obsoletos a 26.000€ la unidad...

    El robo es tan soberbiamente descarado y no sólo no lo ocultan, es que están robando dinero público, publicándolo en el BOE y a nadie le importa. Llega a ser Rajoy, Ayuso, Casado o alguien de VOX haciendo la de robos que está haciendo este gobierno y aquí habría guerra civil en las calles. Parece que la gente que se llama de derechas en este país, le da igual. Están anestesiados.
  15. #14 No soy experto en esos temas, pero si con la wifi, los datos y el GPS apagados funciona el bluetooth (y de hecho funciona) es obvio que no necesita la ubicación, entendiendo por ubicación la localización en la tierra, más o menos precisa, con respecto a la longitud y la latitud. Si me hablas de la ubicación cde un dispositivo Bluetooth con respecto a otros dispositivos Bluetooth ya no digo nada, pero eso no es lo que se entiende por ubicación.
  16. #2 es cierto que en Android es necesario activar la ubicación, pero no es que la app requiera el permiso de ubicación, que no lo pide, sino porque la app realiza búsquedas Bluetooth (para lo que no necesita ningún permiso) , y por su parte el Bluetooth requiere el servicio de ubicación para hacer esas búsquedas (algo que introdujeron en la versión 6.0 y que no hace más que confundir a los usuarios y crear desconfianza) .
    Así que la app necesita que actives la ubicación, pero nunca podrá leerla porque no tiene el permiso.
  17. #16 El problema son cómo están agrupados los permisos. O sea: dentro del permiso "localización" Android entiende, por un lado, obtener tu longitud y latitud con GPS, pero también obtener la lista de WiFis que detectas (pues si sabes donde está una WiFi, puedes saber si el usuario está cerca o no), o también (y aquí está la clave) permitir a una aplicación el acceso al contenido en bruto de los beacons de Bluetooth LE, pero no porque ellos te permitan conocer tu longitud y latitud directamente, sino porque, al igual que con las WiFis, si sabes donde está colocado un emisor BLE que emite un beacon concreto, puedes deducir que el usuario está cerca (hasta 10-20 metros de él) si su móvil detecta dicha señal. Por eso se considera "localización" y requiere permisos.

    Yo esto lo se porque hace un par de años estuve trabajando en un proyecto que utilizaba beacons BLE sobre Android, y teníamos que darle permiso de localización, a pesar de tener el GPS apagado.

    Sin embargo, acabo de instalar la app y no me ha pedido permiso de localización (y aparentemente está funcionando), por lo que entiendo que, o algo he hecho mal, o no utiliza beacons de Bluetooth LE para emitir los valores aleatorios. Voy a ver si puedo descargar el APK y echar un vistazo al manifest.
  18. Me desdigo de todo lo que he dicho. He apagado la ubicación en mi móvil y Radar Covid lanza una notificación diciendo que no funciona. Sin embargo en el listado de permisos de la aplicación no aparece la ubicación.

    Cc #6 #7

    Entonces entiendo que la ubicación activada es un requisito del Bluetooth pero no significa necesariamente que la use para localizar el móvil ni enviar esa ubicación a nadie.
  19. Espero que hagan un análisis similar de una app del pp o los plastas que dicen que newtral no vale porque es parcial montaran en cólera de nuevo
  20. Que la aplicación pida permiso de ubicación es requisito de la plataforma para poder recibir los Beacons por bluetooth [1]. Ocurre lo mismo con el WiFi [2]. De hecho, desde la versión 8 de Android se están reforzando estos requisitos.

    El motivo es que la obtención de estos beacons, o la lista de redes Wifi tras un escaneo, permite el cálculo de la ubicación del dispositivo (hay bases de datos públicas con puntos de acceso y su ubicación). Que la aplicación realice o no este cálculo es irrelevante, el permiso lo tiene que conceder el usuario.

    Es más, tanto Apple como Google tienen restricciones adicionales sobre las apps que utilizan el API de rastreo [3]: "There will be restrictions
    on the data that apps can collect when using the API, including not being able to request access
    to location services, and restrictions on how data can be used. "

    [1] developer.android.com/about/versions/marshmallow/android-6.0-changes.h
    [2] developer.android.com/guide/topics/connectivity/wifi-scan
    [3] covid19-static.cdn-apple.com/applications/covid19/current/static/conta
  21. #18 dependerá de la versión de Android? igual han cambiado las políticas de permisos
  22. #6 no importa meter la pata, si luego rectifican así es como funciona un medio de comunicación serio

    otra cosa son los medios que se inventan bulos y siguen… "el mundo” y sus tesis que el 11m fué un atentado de ETA o toda la mierda que tiran sobre Pablo Iglesias
  23. Por cierto, asi funciona DP-3T y la API de Apple y Google que mencionan en el articulo:
    threadreaderapp.com/thread/1248462243060002820.html

    El original en ingles:
    ncase.me/contact-tracing/

    Otra cosa es que Indra haya metido algo raro en el codigo de la aplicacion, pero lo normal es que solo se hayan preocupado de la interfaz grafica y poco mas, dejando el resto a esta tecnologia que esta libremente disponible para que la audite quien quiera.
  24. Sombras? Que dependemos del chiringuito autonómico de turno para que funcione, por lo que yo creo que para la tercera ola del virus quizás ya empieza a funcionar... Nos gobiernan monos borrachos.
  25. #2
    La tecnología para las notificaciones de COVID, llamada Exposure Notifications System utiliza Bluetooth para detectar otros dispositivos cercanos pero no necesita saber la geolocalización de esos móviles, ni hay datos de localización en los identificadores temporales asignados a un usuario.

    ¿Por qué tiene que estar activada entonces? Google explica que desde 2015 y en todos los teléfonos que utilizan versiones superiores a Android 6.0, es necesario que lo esté para utilizar cualquier aplicación, no sólo la de COVID. Google dice que ellos y Apple han desarrollado salvaguardas que garantizan que las apps de los gobiernos basadas en Exposure Notifications System no podrán inferir la localización del usuario.

    “Que el permiso tenga que ser activado no quiere decir que la app lo utilice”, confirma Troncoso. “De hecho (…) eso incumpliría los términos de uso de Google. En nuestro código se puede ver claramente que la app no utiliza esa información”. ¿Y en Radar COVID? “Entendemos que tampoco ya que Google ha autorizado la app, pero no se puede comprobar”.

    Juan Font es ingeniero informático, fundador de Politibot, y tiene experiencia como desarrollador de aplicaciones móviles. Su valoración del Exposure Notifications System es positiva. “Lo han pensado mucho para que pueda funcionar con gobiernos… complicados, sin que haya filtración de datos. Exposure Notifications no habla con Apple o Google para nada, solo con el server central del gobierno, y sin compartir localización”.

    Radar COVID, SwissCovid, y todas las apps basadas en la API de Google y Apple siguen requiriendo el permiso de localización, hasta que llegue la nueva versión de Android, según ha anunciado Google.


    ... Pues eso
  26. #23 Newtral no lo calificaría como "un medio de comunicación serio", es más bien panfleto
  27. Alguien sabe cómo se llama la app? Gracias
  28. #4, #26 lo explica detalladamente. Ya si queremos ladrar, ladremos...
  29. #18 Gracias por la explicación! Ahora ya entiendo por qué necesito activar la ubicación para conectarme a algunos dispositivos por bluetooth.
  30. Me encanta lo del contrato de Indra, Españistán a la enésima potencia.
  31. Supongo que a mucha gente le parece normal, pero contratar a Indra, una empresa que salía con claridad entre los donantes del pp en los papeles de Barcenas, es simplemente vergonzoso, y siendo votante de izquierdas y habiendo votado esta coalición, me hace sospechar seriamente de este gobierno.

    Seguid así y solo gobernaréis 4 años.
  32. #24 Si dicen que dentro de poco la van a abrir, supongo que será como comentas tú, una capa por encima de presentación y alguna API para que interactuen los sistemas sanitarios de las CCAA
  33. #25 En principio estará el 15 de Septiembre implantado en todas las CCAA. Veremos.
  34. Lo curioso es que ahora lo tienen que activar las CCAA.

    En este pais nos perdemos en la BURROCRACIA, es imposible avanzar si para todo se necesita un debate kna votación o una adaptación por comunidad autónoma, es que ni en las cosas importantes.
  35. #17 ¿Y el resto de aplicaciones se beneficiará de que tengas activada en todo momento la ubicación?
  36. #36 No me creo nada... cada sistema sanitario es independiente e incompatible del de la comunidad de al lado (salvo acuerdos puntuales para ciertos historiales), y se supone que tienen que gestionar el código que tienes que meter en la app si eres positivo, que te da el médico y supongo que tendrá que tener alguna sincronización entre todas las comunidades...

    Ojalá esté para el 15 de septiembre (que es muy tarde)... pero no me fío nada...
  37. #37 Pues es una pena, porque es la única opción que nos queda para contener el virus. Rastrearlo en situaciones que ahora no se rastrea, sea xq no se puede (como en el transporte público) o porque no hay personal.
    Para mi es la última bala.
  38. #27 ¿Por qué? ¿Crees que los bulos que desmiente no son falsos?
  39. #4 Claro que es evidente: no sabes de qué hablas.
  40. #19 A mi me sale una notificación de servicios de Google (no la app) diciendo que hay que activar la ubicación para las notificaciones de exposición covid
  41. #2 es cierto que necesita localización... Pero solo en Android. No la usa pero la API de exposiciones depende de ello.
  42. #19 lo explico en #45.
  43. #35 Como la grandísima mayoría de aplicaciones móviles...
  44. #39 el resto que tengan permiso de ubicación podrían leerla al activarla, tal como avisa la app. Para eso está el gestor de permisos y hacer una revisión de vez en cuando
  45. Para los que controláis, esto no tiene que ver con lo que habla la noticia ? Me refiero a que ya hay aplicaciones de rastreo no ?
    cincodias.elpais.com/cincodias/2020/05/11/companias/1589210011_570087.
  46. #42 Puedes desmentir bulos a medias. O desmentir bulos principalmente de un extremo ideológico.
  47. #13 No hace falta que la app sea obligatoria. Basta con que funcione bien
  48. #39 No porque esa API #53 solo está diseñada para este caso.
  49. #8 Si entendemos por ubicación "la capacidad de posicionarte en un punto concreto del mapa o al menos dentro de un área" pues sí, está activa, pero eso da igual sea Android, iOS o un Nokia 3310. Existen varias formas para geoposicionar un dispositivo móvil, algunas requieren de tener activado el GPS y otras no (mediante triangulación por ejemplo), para las del segundo grupo es indiferente el sistema operativo que utilices. El GPS no está siempre activo y está bastante protegido su uso.
  50. #26 La documentación y los links de la API #53
  51. #37 "Bueno, pues molt bé, pues adiós"
  52. No en mi móvil.
  53. #56 Muchísimas gracias, precisamente quería disponer de acceso a esta API.
  54. #50 Parece que ambas se basan en el mismo protocolo. Desde mi punto de vista, la principal diferencia es que si tú das positivo, el sistema de salud te dará un código para introducirlo en la app Radar Covid y que de esa manera se avise a quienes hayan estado cerca de ti, mientras que la que enlazas no sé de dónde ni cómo sacaría la información de quiénes han estado infectados.
  55. #31 mi tiempo es oro, quiero respuesta inmediata
  56. #7 tal cual, newtral lo plantea como un problema de la aplicación cuando es una funcionalidad de android a la que la aplicación se tiene que adaptar. En fin.
  57. #4 sí se ha explicado sí, de hecho el propio artículo lo explica. Pero está redactado como el culo, al principio da a entender que es una característica cuestionable de la aplicación, y luego explica que es una imposición de android en las versiones actuales que previsiblemente cambie en las futuras.
  58. #31 posdata: le he dado al enlace que me has mandado y le he dado a instalar y no se puede, empezamos bien
  59. #52 es irrelevante lo bien que funciona si la usa un 10% o menos...
    Mira q tener q explicar esto...
  60. #61 Ya sabes. Si tienes prisa, y solo quieres molestar, vas al apartado de "restaurar valores de fábrica", se solucionan todos tus problemas, y dejas de molestar.
  61. #65 Una app que funcione bien y que sea promovida por el gobierno y los medios de comunicación no será utilizando por un 10% o menos.

    Mira que tener que explicar esto...
  62. #49 La aplicación ya está hecha, no van a llevarse más dinero porque la utilices. Pero utilizándola puedes contribuir a que el virus se expanda menos.
  63. #50 Hay muchas, también de otros países, pero la oficial en España es esta.
  64. #53 Efectivamente, me di cuenta esta mañana: si la aplicación no lee los beacons directamente, sino que accede a través de esa API, no debería ser necesario. Gracias.
  65. #2 #19 #45 La verdad sigo sin saber para que se necesita la localización. Que la API en Android la necesite, ya es bastante sospechoso.

    Saludos.
  66. #22 Me di cuenta esta mañana: las apps de los gobiernos NO acceden al bluetooth para nada, sino que sólo acceden a la API que Google ofrece. Esa API forma parte de los servicios de google, que son quienes sí tienen acceso total al bluetooth y demás, pero como los datos que dan a la app están anonimizados, no hace falta que ésta tenga permisos de localización.

    El motivo de hacerlo así es obvio: garantizar que todas las apps sean interoperables (si no, te arriesgas a que lo que la app de Galicia emite no sea compatible con la de Madrid o la de Francia).
  67. #53 Gracias por la info.

    Del último enlace: To help ensure these random IDs can’t be used to identify you or your location, they change every 10-20 minutes.

    Entonces, si te infectas solo informas con el último código. Por tanto, un contacto de hace más de 10 minutos no sabría que ha estado contigo. Algo me he perdido...
  68. #67 claaaaro, solo hay que gastarse 1000 millones de euros en publicidad por tierra mar y aire. Y confiar en que la gente la use. Y en que no sea hackeada,ya que seria responsabilidad del gobierno.

    Tu no piensas lo que escribes, me parece a mi. Tampoco tienes ni idea de como funciona la penetracion de mercado de una app(mira las actuales, y los %.
    Estaba siendo ridiculamente benevolo con los %. Mira, en china hablamos de mas de un 90%, para que funcione bien. Eso es directamente imposible sin hacerlo obligatorio, cosa imposible a nivel legal.

    Dejad el dichoso tema, por el amor de dios, cuanto duro de mollera hay en este foro...
    No veis que es imposible hacer lo que han hecho los chinos con nuestro sistema legal y burocratico?
  69. Desde hace meses ya había aplicaciones open-source de otros países, que les funcionan a la perfección, así que deberíamos haber usado una de esas desde antes de esta ola de contagios. Pero claro, como no podía ser de otra forma, era preferible pagar un pastón a los de siempre.
  70. #74 Tu no piensas lo que escribes, me parece a mi.

    Gastarte 1000 millones de euros es absolutamente nada para un gobierno del tamaño de España para un problema como este, pero es que no haría falta gastarse un duro. Basta con que en las continuas intervenciones diarias se repita que hay que instalar la app. En cero coma tienes un penetración de la app del copoón.

    Deja el dichoso tema, por el amor de dios, cuanto duro de mollera hay en este foro...
  71. #73 si no recuerdo mal la aplicación guarda los códigos (suyos y con los que ha estado cerca) durante 14 días.
  72. #73 Los IDs cambian, pero el móvil guarda todos los IDs generados en los últimos 14 días. Luego, si te infectas, lo que haces es enviar esa lista de IDs a los servicios sanitarios, que la enviarán a todos los móviles, de manera que pueden comprobar si estuvieron cerca de alguno de esos IDs en algún momento.
  73. #44 Justo, no es la app quien necesita los permisos de ubicación sino los servicios de google, pues son ellos quienes acceden al bluetooth. Los artículos no son demasiado claros.
  74. #71 Lo explico en #18
  75. #77 #78 Entonces, en 14 días tiene que guardar 6*24*14=2016 ID propios. Igual es eso pero no veo la necesidad...

    Pero, dándole otra pensada igual tiene sentido para impedir que alguien deduzca cosas por frecuencia de contacto con un ID e, incluso, relacione una lista de ID con otra BDD con ubicaciones de otras apps.
  76. #25 No se para que queremos gobierno central si todo acaba siendo culpa de las CCAA
  77. #78 ayer en mi habitación activé el bluetooth y me aparecieron 7 dispositivos (2 eran de mi pareja) el resto asumo que son de mis vecinos.

    Si mi vecino y yo tenemos la aplicación y el da positivo ¿me avisarían?, más que nada porque no tenemos contacto físico ninguno, excepto que estamos pared con pared.
  78. #81 Exacto: esa es la clave. Aunque no sepas que 0xf714e7a soy yo, puedes correlacionarlo con otros datos. Y si, en un momento determinado, consigues demostrar que yo soy ese, ya podrías seguirme siempre. Por eso se cambia cada diez minutos.
  79. #21 ¿algún sitio para ver esas bases de datos públicas de puntos de acceso?
  80. #83 Si no me equivoco, se puede ajustar la potencia de emisión de los beacons. Al menos, cuando había trabajado en un proyecto con bluetooth, así había sido.

    Por otro lado, Bluetooth y Bluetooth Low Energy (BLE) son, en realidad, protocolos diferentes, y sólo tienen el nombre en común, y estar agrupados bajo un mismo estándar. Pero por debajo son independientes. Probablemente estés viendo dispositivos Bluetooth "normales".
  81. #85 Tienes wigle.net/.

    Google tiene un servicio (de pago), al que le suministras una serie de direcciones MAC de puntos de acceso (opcionalmente con el nivel de señal observado) y te da la posición con una precisión que mete miedo :-)
    developers.google.com/maps/documentation/geolocation/overview
  82. #83 que desde tu habitación "veas" el bluetooth de tu vecino no quiere decir que esta app lo vaya a detectar y considerar contacto. En realidad son sistemas distintos el que usa esta app y el que usas para conectarte a un altavoz por ejemplo
  83. #86 Muchas gracias, ajustando la potencia ya me lo explico.

    Nunca te acostarás...
  84. #50 Tecnalia participa en el consorcio europeo que creó el DP-3T, open source, del cual se ha derivado, la API de Android e iPhone. Entre Ibermática y Tecnalia se ha desarrollado una aplicación para el área de Promoción Económica de Eusko Jaurlaritza y que se está usando exclusivamente en algunas empresas vascas.

    Esta app no usa las API preinstaladas, integra el DP-3T en la propia app.
  85. #90 No doy el visto bueno, pero es lo que hay. Si la app ayuda a salvar aunque sea una vida, a mí me vale. Por lo que hay que pelear es por cambiar precisamente esos dedazos, pero la app ayuda a salvar vidas así que bienvenida sea.
  86. #93 "es de esos que dicen las cosas que lee en Okdiario, y no se para ni a comprobar."

    Necesitas inventarte mierda de gente que no conoces de nada. Una actitud realmente patética. Se mejor
  87. #83 ese es uno de los problemas de usar bluetooth para calcular distancias y por lo que esta app va a lanzar muchos, espero que no, falsos positivos. La gran mayoría de la población vive muy cerca unos de otros, pared con pared.
  88. #88 explica eso. Si el vecino se declara positivo, se encierra en casa y deja el móvil encima de la mesa, al alcance efectivo como para avisar que está cerca de otros, cómo va a discriminar a los otros usuarios que vivan pared con pared?
  89. Yo me esperaré a que la publiquen en F-Droid
  90. #96 como decía, esta app no usa el mismo bluetooth que usas para conectarte a un altavoz, y que busca aumentar a toda costa el rango de alcance. Usa bluetooth low energy y esto permite un caso de uso concreto que es utilizarlo como "sensor de proximidad" y en eso se basa todo, cuando estés lo sufientemente cerca de otro dispositivo se considerará contacto... Que oye, no te digo que si tu vecino y tú tenéis las mesillas de noche pared con pared y tenéis los móviles pegados a dicha pared no vaya a saltar un falso contacto, pero no será ni mucho menos lo habitual.

    Que el bluetooth tenga alcances de 10, 20 o 30 metros es en cierta manera irrelevante para este sistema
  91. #76 Que si guapi, que eres mas mejor y mas inteligente que TODOS los gobiernos de la UE, y por supuesto tienes razon y ellos no.
    No discutes conmigo, discutes con la puñetera realidad. NO HAY APP EN UE. No se puede imitar la china, y con las limitaciones impuestas por la burocracia, es inviable.

    Ahora sigue con el dichoso tema, que me entretiene ver como te hundes mas y mas intentando explicar COMO lo harias exactamente, si tu gobernaras.
    Yo trato de explicarte porque no funciona algo en el mundo real, pero dimito, no soy tan competente como tu. iluminanos, oh gran sabio, donde todos los gobiernos europeos han fallado estrepitosamente.

    Cuentanos lo que ves tan obvio, cuantos mas detalles mejor, tu explicalo como para tontos, porfi.
  92. #82 Si después de todo esto el gobierno central no empieza a centralizar ciertas cosas de sanidad (sistema informático único de historiales y recetas al menos...) nos mereceremos todo lo malo...
«12
comentarios cerrados

menéame