La ‘app’ Radar Covid ha tingut una bretxa de seguretat des del seu llançament
Quan un usuari de Radar Covid rep la confirmació de la seva positiu, les autoritats de la seva comunitat autònoma han de donar-li un codi. Si decideix introduir-lo en la app, el seu mòbil enviarà a un servidor les claus que ha compartit en els últims dies a l’estar a prop d’altres usuaris. Aquestes claus són les que permetran a la resta d’usuaris comprovar si han estat a prop de el nou positiu. Així, només hi ha un moment en què els usuaris pugen claus a servidor de Radar Covid: quan són positius. Encara que aquest trànsit estigui xifrat i el contingut de la comunicació sigui anònim, si hi ha pujada a servidor implica que l’usuari és positiu. Qui tingui accés al trànsit, per tant, sap qui ho és.
L’opció d’accés a aquesta informació no està a l’abast de qualsevol usuari, però la seva explotació va més enllà de les operadores telefòniques i d’Internet. L’empresa Amazon també té accés a aquesta informació: la pujada al servidor es fa amb un programari de la companyia nord-americana, de manera que també pot comprovar quin mòbils manaven positius. A més de grans empreses, també tindria accés qualsevol individu o empresa amb l’opció d’entrar a la mateixa xarxa wifi des de la qual s’envien les claus.
Altres apps de rastreig de contactes europees solucionaven aquest problema d’una manera fàcil d’entendre: simulen trànsit fals des de mòbils aleatoris perquè des de fora no es pugui concloure qui puja un positiu real i qui mana un paquet de dades falses que el servidor sap que ho són. La app espanyola Radar Covid no ho fa. El problema, l’existència ja va publicar EL PAÍS, va ser esmenada, segons el Govern, el passat 9 d’octubre. “No s’ha comunicat a el públic en general, perquè aquesta possible vulnerabilitat té un abast molt limitat, atès que només podria ser explotada per l’operador de comunicacions”, han explicat a El País fonts de la Secretària d’Estat d’Intel·ligència Artificial, encarregada de impulsar la app .
La possibilitat d’accés no implica que s’hagi explotat, encara que en realitat no se sap. No hi ha proves que la bretxa hagi estat aprofitada, però existia i, com a tal, havia de ser reparada. També les empreses amb possibilitat d’accés havien de voler fer-ho: és com deixar una porta tancada sense clau; per veure què hi ha a l’altra banda cal fer l’exercici d’obrir-la. És un esforç anodí, però cal executar-lo i no és una cosa banal amb aquest tipus de dades. Tampoc és una cosa que es pugui fer després. Ha de ser en directe, llevat que es registrés. El Govern ha deixat passar diverses setmanes des que va tenir la confirmació d’aquesta vulnerabilitat. La Secretaria d’Estat va anunciar en el seu compte oficial que aquest problema ja havia estat solucionat amb l’última actualització.
Podeu llegit la noticia sencera a EL PAÍS