Una nueva aplicación del Gobierno de EE. UU. ha suscitado inquietud entre usuarios e investigadores por sus posibles funciones de rastreo de la ubicación, vulnerabilidades de seguridad y recopilación de datos.
La Casa Blanca lanzó la aplicación el viernes con el objetivo de que los usuarios dispusieran de una «línea directa con la Casa Blanca», lo que incluye recibir alertas de noticias de última hora sobre anuncios gubernamentales importantes, ver retransmisiones en directo y mantenerse al día sobre «avances políticos».
Sin embargo, los usuarios de X han expresado su preocupación por los permisos necesarios para utilizar la aplicación, entre los que se incluyen el acceso a la ubicación del dispositivo, el almacenamiento compartido y la actividad de red, aunque estas afirmaciones no han sido verificadas de forma independiente.
Si bien muchas aplicaciones suelen solicitar permisos de ubicación y pueden registrar datos de los usuarios, una aplicación lanzada por el Gobierno federal que solicita esta información puede suscitar preocupaciones adicionales.
Sin embargo, ni la ficha de Google Play Store ni la de la App Store de Apple muestran actualmente estas advertencias.
La política de privacidad de la aplicación de la Casa Blanca indica que almacena automáticamente información sobre la dirección IP de origen y otros datos básicos, y que puede conservar los nombres y las direcciones de correo electrónico de los suscriptores, aunque estos no son necesarios para utilizar la aplicación.
Cointelegraph se ha puesto en contacto con la Casa Blanca para recabar comentarios.
Un ingeniero de seguridad afirma que el seguimiento por GPS forma parte de la aplicación
En la página de la aplicación en Google Play Store, se indica que los datos personales, incluidos los números de teléfono y las direcciones de correo electrónico, pueden recopilarse a través de la descarga y el uso. La App Store de Apple, por su parte, remite a los usuarios a la política de privacidad de la Casa Blanca.
Un desarrollador de software que utiliza el nombre de usuario X Thereallo, junto con Adam, ingeniero de seguridad y arquitecto de infraestructuras, afirman haber identificado código que sugiere que la aplicación podría acceder al GPS de un dispositivo para realizar un seguimiento.
Aunque esta función es habitual en numerosas aplicaciones, Adam señaló que es inusual que los servicios de seguimiento de la ubicación se incluyan en un software que no parece necesitarlos.
«No hay mapas, ni noticias locales, ni geovallas, ni eventos cercanos, ni información meteorológica. No hay nada en la aplicación que requiera la ubicación», añadió.
Preocupación por el rastreo GPS cada 4,5 minutos
Thereallo afirmó de forma similar que la aplicación incluye código que podría permitir el rastreo de un dispositivo cada 4,5 minutos en primer plano y cada 9,5 minutos en segundo plano, aunque esto no ha sido verificado de forma independiente.
Descubrió que aún requiere permiso, pero advirtió que está a solo «una llamada de activarse» y que la «infraestructura de rastreo está ahí, lista para funcionar».
Al mismo tiempo, Thereallo señaló que la aplicación recopila otros datos, como interacciones con notificaciones, clics en mensajes dentro de la aplicación y el número de teléfono.
La seguridad podría verse comprometida, según el investigador
Adam afirmó que la seguridad de la aplicación también podría ser lo suficientemente débil como para que una persona con conocimientos técnicos pudiera interceptar sus datos o alterar su funcionalidad
«Cualquiera que se encuentre en la misma red Wi-Fi, por ejemplo, en una cafetería, un aeropuerto o una sala de audiencias del Congreso, puede interceptar el tráfico de la API con un proxy. Cualquiera con un dispositivo con jailbreak puede conectarse y modificar el comportamiento de la aplicación en tiempo de ejecución», afirmó.
“No se sondearon servidores. No se interceptó tráfico de red. No se eludió ningún DRM. No se utilizaron herramientas que requirieran hacer jailbreak. Todo lo descrito aquí es observable por cualquiera que descargue la aplicación desde la App Store y tenga un terminal.”
Este artículo no contiene consejos ni recomendaciones de inversión. Toda inversión y operación conlleva riesgos, y los lectores deben realizar sus propias investigaciones antes de tomar una decisión. Aunque nos esforzamos por proporcionar información precisa y oportuna, Cointelegraph no garantiza la exactitud, integridad o fiabilidad de la información contenida en este artículo. Este artículo puede contener declaraciones prospectivas que están sujetas a riesgos e incertidumbres. Cointelegraph no se hace responsable de ninguna pérdida o daño que se derive de la confianza depositada en esta información.
