Una nueva aplicación lanzada por el gobierno de Estados Unidos ha generado inquietudes entre usuarios e investigadores debido a sus posibles capacidades de rastreo de ubicación, vulnerabilidades de seguridad y recopilación de datos.
La Casa Blanca presentó la app el pasado viernes, con el objetivo de proporcionar a los usuarios una “línea directa con la Casa Blanca”, lo que incluye recibir alertas de noticias de última hora sobre anuncios gubernamentales, ver transmisiones en vivo y mantenerse al día sobre “avances en políticas”.
No obstante, usuarios en X han expresado sus preocupaciones acerca de los permisos requeridos para utilizar la aplicación, que incluyen acceso a la ubicación del dispositivo, almacenamiento compartido y actividad de red, aunque estas afirmaciones no han sido verificadas de manera independiente.
Si bien muchas aplicaciones suelen solicitar permisos de ubicación y pueden registrar datos de usuarios, el lanzamiento de una aplicación por parte de un organismo gubernamental que demande esta información suscita preocupaciones adicionales.
A pesar de ello, tanto en la tienda Google Play como en la App Store de Apple actualmente no se muestran estas advertencias.
Según la política de privacidad de la aplicación de la Casa Blanca, esta almacena automáticamente información sobre la dirección de Protocolo de Internet (IP) de origen y otra información básica, además de poder retener nombres y direcciones de correo electrónico de los suscriptores, aunque no son necesarios para utilizar la app.
Cointelegraph se ha puesto en contacto con la Casa Blanca para obtener comentarios.
Un ingeniero de seguridad afirma que el rastreo por GPS es parte de la app
En la página de la aplicación en Google Play Store, se indica que se pueden recoger datos personales, incluidos números de teléfono y direcciones de correo electrónico, a través de la descarga y uso de la misma. Mientras tanto, la App Store de Apple dirige a los usuarios a la política de privacidad de la Casa Blanca.
Un desarrollador de software que utiliza el identificador de X “Thereallo”, junto con Adam, un ingeniero de seguridad y arquitecto de infraestructura, afirmaron haber identificado código que sugiere que la aplicación podría acceder al GPS de un dispositivo para rastreo.
Si bien esta función es común en varias aplicaciones, Adam comentó que es inusual que los servicios de rastreo de ubicación estén presentes en software que no parecen necesitarlo.
“No hay mapas, no hay noticias locales, no hay geocercas, ni eventos cerca de ti, ni clima. Nada en la app que requiera ubicación”, añadió.
Preocupaciones sobre el rastreo por GPS cada 4.5 minutos
Thereallo hizo una afirmación similar sobre que la app incluye código que podría habilitar el rastreo de un dispositivo cada 4.5 minutos en primer plano y 9.5 minutos en segundo plano, aunque esto no ha sido verificado de manera independiente.
Se dio cuenta de que aún se requieren permisos, pero advirtió que está “a solo una llamada de activar” y que la infraestructura de rastreo “está allí, lista para iniciarse.”
Relacionado: Consejo asesor de Trump incluye a cofundador de Coinbase y líderes tecnológicos
Al mismo tiempo, Thereallo mencionó que la app está recopilando otros datos, como interacciones con notificaciones, clics en mensajes dentro de la aplicación y números de teléfono.
La seguridad podría estar comprometida, advierte un investigador
Adam afirmó que la seguridad de la aplicación podría ser lo suficientemente débil como para que una persona con conocimientos técnicos pueda interceptar su información o alterar su funcionalidad.
“Cualquiera que esté en la misma red Wi-Fi, digamos, en una cafetería, un aeropuerto, o una sala de audiencias del Congreso, puede interceptar el tráfico de la API con un proxy. Cualquiera con un dispositivo rooteado puede modificar el comportamiento de la aplicación en tiempo de ejecución”, comentó.
“No se accedió a servidores. No se interceptó tráfico de red. No se eludió DRM. No se utilizaron herramientas que requieran hacer jailbreak. Todo lo descrito aquí es observable por cualquiera que descargue la aplicación desde la App Store y tenga un terminal.”
Fuente: cointelegraph.com