Llevamos unos días hablando sobre la privacidad y seguridad de la app del Gobierno de España para el rastreo de contactos relacionados con el COVID. Hemos hecho ingeniería inversa y no ha aparecido nada extraño. Análisis de su código
|
etiquetas: ingeniería inversa , radar covid , reversing
Abriendo el código con un esquema de licenciamiento adecuado te puedes beneficiar de arreglos y mejoras que hagan otros.
Y dicho sea de paso, en este caso no estamos hablando de un desarrollo que tomó años y/o miles/millones de líneas de código, precisamente.
Repasando el código fuente (decompilado) de la aplicación Radar COVID no se detecta ningún uso “inapropiado”: no se obtiene la localización del usuario en ningún momento, no se accede a ningún fichero del dispositivo, no se accede a ningún servicio de telefonía (para, por ejemplo, obtener el MSISDN o enviar un SMS), …
Si tienes el código fuente, aunque sea decompilado en el caso de Java, no necesitas monitorizar la red para ver contra qué abre conexiones, porque cualquier destino lo tienes que tener en el código.
Y si hay datos ofuscados, cifrados, etc... se ve a simple vista y sabes que hasta que no consigas desofuscarlo, descifrarlo, etc... sabes no tienes seguridad de de qué hace ese código y entonces no asumes que la aplicación es segura.
Loable realizar un trabajo... que debió no hacer, por incumplimiento de este gobierno
edit: cc #40 Irlanda
Acceso a tu agenda, grupo sanguíneo, historial sanitario e historial bancario
Y adermás nadie ha dicho "que por defecto todo deba ser abierto".
Ya existía código abierto desarrollado en Alemania (github.com/corona-warn-app), que lleva publicado desde mucho antes de que nuestro país tuviese siquiera prototipo. Por desgracia nuestra industria no va a poderse ver beneficiada por la publicidad que supondría el haber sido los primeros que publicaron el código para la aplicación. Y si lo liberasen dudo mucho que sea de mejor calidad que lo que existe actualmente... no me sorprendería de que no lo publiquen para evitar que se le caiga la cara de verguenza a más de uno. Sobretodo por lo mucho que se tardó y las comisiones que seguramente se haya tomado la empresa amiga por el camino.
Aunque estoy de acuerdo en que deberían haberlo publicado también como un servicio aparte instalable manualmente, precisamente para los dispositivos que no utilicen las GApps.
1 - técnicamente hacer Rev engineering en un delito. Nadie va a denunciarte, pero con la (estupida) ley en la mano, podría hacerse
2- usa mobsf. Es mucho más sencillo de ver toda la info
Para empezar nadie ha dicho "que por defecto todo deba ser abierto"
Mi comentario venía por este texto de #3:
"Es triste que una aplicación de este tipo, financiada con dinero público, no sea código abierto desde el primer día"
Releyéndolo, si, tal vez lo haya malinterpretado. Pero bueno, creo que en mis comentarios anteriores ya he dejado claro a que argumento estaba contestando
Un ejemplo: yo puedo hacer ingeniería inversa de un reproductor de DVD, pero lo que no puedo es aprovechar esa ingeniería inversa para extraer la clave de descifrado de los DVDs y usarla para piratearlos. En otras palabras: que haya obtenido esa clave "legalmente" no me permite utilizarla para acceder a esos contenidos sin autorización.
No sé si es por la ofuscación o por la "descompilación", pero es normal que los programas de desempaquetado asigne nombres aleatorios a las variables y objetos que identifica, ya que los originales sólo están disponibles en el código fuente original, no en los binarios o los ficheros objeto.
Aquí lo explican un poco mejor elderecho.com/medidas-de-seguridad-ingenieria-inversa-y-privacidad
Edit: Ey! el comentario #44 ha crecido!!!
Además, te mereces positivo por releer las cosas.
A mi no tenéis que convencerme, yo uso Frida e ida pro...
son leyes prehistóricas y posiblemente nadie la aplique nunca, pero con la ley en la mano...
Me gustaria ver el codigo de esta para ver "cuanto de parecida" es a la alemana.
y por si no te lo crees: github.com/corona-warn-app
play.google.com/store/apps/details?id=cat.gencat.mobi.StopCovid19Cat
play.google.com/store/apps/details?id=org.madrid.CoronaMadrid
play.google.com/store/apps/details?id=com.erictelm2m.colabora
Miles de euros a la basura.
Y el Gobierno de España ha tardado meses en sacar una aplicación, de hecho creo que a fecha de hoy aún no está operativa en todo el conjunto del estado.
tienes una idea bastante distorsionada de lo que significa escribir y utilizar software de código abierto.
Bueno...
Abriendo el código con un esquema de licenciamiento adecuado te puedes beneficiar de arreglos y mejoras que hagan otros.
Es cierto, pero en algunos casos tal vez prefiero ocultar la lógica aunque no puedan ayudarme desde fuera...
Y dicho sea de paso, en este caso no estamos hablando de un desarrollo que tomó años y/o miles/millones de líneas de código, precisamente.
También es cierto, y en este caso concreto, creo que siendo abierto puede ser más beneficioso.
Mi objeción es que todo deba ser abierto por defecto simplemente por el hecho de que se haya financiado vía impuestos. Un país puede haber usado dinero público para pagar el diseño de cualquier otro tipo de tecnología (armas, por ejemplo) y no por eso se van publicando los diseños tan alegremente...
Y no es lógico que se tenga que usar ingeniería inversa a una aplicación que se supone que iba a ser de código abierto.
Saludos.
Es más me recuerda a un estudio de piratería financiado por la RIAA (Las "majors" discográficas básicamente) y que decía eso que estaba financiado por la RIAA, pero que los resultados eran imparciales. Casi me caigo de culo, de la risa que me entró.
Saludos.
www.boe.es/diario_boe/txt.php?id=BOE-A-2020-10008
Yo uso LineageOS en mi móvil y puedo instalar la aplicación, pero en cuanto la ejecuto me exige esos servicios que no tengo.
Ahora bien: la ingeniería inversa es igualmente necesaria, para verificar que el binario que se está distribuyendo es efectivamente el mismo código que el que está en el repositorio.
No todo el mundo va a compilarse el mismo la aplicación.
No sé lo que querrían esconder, pero se me quitaron rápido las ganas de intentar descubrirlo, la verdad.
SMS dice... jajaja bienvenido al siglo XXI, colega. Supongo que tus amigos tambien usan SMS y no whatsapp
Delitos son las conductas tipificadas como tal en el Código Penal, te he preguntado qué delito del código penal tipifica esta conducta y no me has podido responder porque no existe ninguno.
Pero en vez de rectificar y reconocer que te has equivocado porque has hablado sin saber (lo más probable es que no tengas ni la carrera de Derecho) te empeñas en mantener una mentira de forma deliberada.
Se puede instalar desde Android 6.0 (finales de 2015) o desde iOS 13.5 (iPhone 6S, finales de 2015 también). Así que, más o menos un móvil de hace 4 años te sirve como poco.
4 años dista muchísimo de último modelo o casi.