La herramienta exacta: Este mensaje se lee 60 mil veces por mes !!!

Sistema 9041 para la administración de consorcios...


Cinco años antes, la Fundación Sadosky ya había alertado que como la aplicación obtiene las direcciones en forma insegura, es posible inyectar código malicioso.

Cinco años antes, la Fundación Sadosky ya había alertado que como la aplicación obtiene las direcciones en forma insegura, es posible inyectar código malicioso. 

Gobierno de la CABA

La aplicación ‘Cómo llego’ filtra información riesgosa

[BPN-12/04/19] Mientras en la CABA se debate en los tribunales el futuro de la Aplicación Oficial Consorcio Participativo, el pasado 3 de abril el Civil Sphere Project (CSP) denunció que la aplicación "Cómo llego" del Gobierno porteño filtra la ubicación exacta, las búsquedas realizadas y cada caracter escrito de sus usuarios en texto sin cifrar a través de la red. De esta forma cualquier persona interesadas con acceso al tráfico de Internet puede saber dónde se encuentra el usuario, qué es lo que buscó en la aplicación y -por la forma de tipear los caracteres- puede identificarlo en forma certera.

Por su parte, cinco años antes, la Fundación Sadosky ya había alertado: "Como la aplicación intenta obtener las direcciones de forma insegura es posible inyectar [código] malicioso [en el celular del usuario] por cualquier atacante en la red conectada o que se encuentre en la ruta al servidor" <vínculo>.

Según explica el CSP, una de las fallas graves es que la aplicación filtra la ubicación exacta del usuario enviando sus coordenadas sacadas del GPS en texto sin codificar. Este dato sensible trasciende incluso cuando el usuario no haya escrito en los campos "Desde" y "Hasta" su ubicación actual.

Es de destacar que no sólo esta información puede ser utilizada por el Estado en forma ilegal o abusiva del derecho sino también por delincuentes comunes para saber quién va, a dónde, de dónde salió o calcular cuánto tiempo faltará de un lugar específico, por ejemplo su casa o su oficina.

Finalmente el Civil Sphere Project recomendó: "Si usted es un individuo en riesgo debido al tipo de trabajo que realiza o a las personas a las que ayuda, es importante comprender que cualquier dato pequeño que se filtre puede ponerlo en riesgo. Llevamos teléfonos móviles dondequiera que vamos, y es importante entender que pueden ponernos en riesgo. Recomendamos desinstalar ‘BA Cómo Llego’ y usar aplicaciones de transporte más comunes como Google Maps que garanticen un nivel mínimo de seguridad".

La investigación fue dirigida por Verónica Valeros y Juan Fajfer, integrantes del Civil Sphere Project, una iniciativa de la sociedad civil y la Universidad Técnica Checa que trabaja en cuestiones de seguridad cibernética en particular en referencia a ONGs, activistas y periodistas.

El RPA también filtró datos

No hace mucho el Registro Público de Administradores (RPA) porteño filtró los correos electrónicos privados de centenares de administradores cuyas matrículas habrían estado vencidas por no haber presentado las Declaraciones Juradas (DDJJ) en término. Entre los intimados la redacción del medio reconoció el correo del presidente de una entidad de administradores y la vocal suplente de otra.

De las denuncias recibidas por la redacción de Pequeñas Noticias se pudo apreciar que las intimaciones por correo electrónico para regularizar su situación se mandaron -de una forma muy precaria- en "paquetes" de unas 330 direcciones con "copia abierta" en lugar de con "copia oculta". De esta forma cada administrador pudo acceder a los correos de más de 300 colegas que tampoco cumplieron, violando la privacidad de esos datos que el RPA recibió en custodia para realizar su labor [1].

Consorcio Participativo

El 13 de septiembre de 2017, Horacio Rodríguez Larreta, jefe de Gobierno de la Ciudad de Buenos Aires, presentó públicamente un proyecto del que se destaca un punto: se propuso desarrollar un sistema informático gratuito, de uso obligatorio para los administradores que concentrará toda la actividad profesional, comercial, societaria y comunicacional de los consorcios. El autor del proyecto fue Facundo Carrillo, por aquel entonces subsecretario de Demanda Ciudadana, Calidad y Cercanía [2].

El proyecto fue aprobado por la Legislatura porteña el 28 de junio de 2018, el cuerpo legislativo aprobó en general el proyecto de ley Consorcio Participativo con 44 votos y 14 abstenciones [3].

La Aplicación Oficial Consorcio Participativo abrió desde sus comienzos en 2017 un áspero debate y al día de hoy enfrenta el rechazo y varias acciones judiciales abiertos por administradores, consorcistas y proveedores del sector.

¿Cómo te identifican?

Retomando y profundizando en la aplicación "Como llego", según explica CSP, después de instalar la aplicación, al usuario se le ofrecen dos espacios para la búsqueda en los cuales debe escribir el origen y el destino para que la aplicación encuentre posibles rutas.

Cuando el usuario comienza a escribir, la aplicación genera una solicitud que envía la búsqueda parcial a los servidores. Hay que tener en cuenta que debe escribirse un mínimo de tres caracteres para que se realice la solicitud pero –y esto es clave- a medida que el usuario continúa escribiendo, se realizan más solicitudes, casi carácter por carácter. Todos los datos se transfieren en texto sin encriptar –texto plano- a través de la red. El reconocimiento del patrón de tecleo de una persona se estudia por lo que se conoce como "dinámica de tecleo" o en inglés como "keystroke dynamics".

La dinámica de tecleo es una rama de la biometría que se dedica al estudio del reconocimiento del patrón de tecleo de un usuario. Para determinar esta huella que un individuo imprime al escribir se tienen en cuenta diversas medidas, como el tiempo de pulsación de cada tecla o el tiempo entre pulsaciones. Teniendo en cuenta todos los parámetros medidos pueden crearse diversos patrones de comportamiento, que conforman una huella característica y pueden ayudar al proceso de identificación de un usuario en un sistema determinado.

El GCABA ya había sido alertado

Hace cinco años, en 2014, la Fundación Sadosky mantuvo una activa comunicación con el Gobierno de la Ciudad de Buenos Aires alertando sobre las vulnerabilidades que presentaba el sistema desarrollado aunque inexplicablemente no dio frutos.

El 11 de febrero de 2015 envió un correo electrónico solicitando contacto para reportar problemas de seguridad en aplicaciones móviles.

El 18 de febrero de 2014 recibieron respuesta del GCBA requiriendo información para reenviársela a quien corresponda. Ese mismo día se envió al GCABA una descripción técnica del problema.

El 3 de febrero de 2015 se envió correo electrónico a Seguridad Informática del Gobierno de la CABA, notificando de la próxima publicación del problema y solicitando que se notifique al director general de Gobierno Electrónico y/o al Director General de Innovación y Gobierno Abierto. Al día siguiente se recibió una respuesta de Seguridad Informática requiriendo un reporte técnico.

El 6 de febrero de 2015 se envió una versión preliminar de este boletín de seguridad <vínculo>.

El 23 de diciembre de 2016 el Gobierno de la Ciudad de Buenos Aires publicó la versión 4.1.0 de la aplicación en Google Play.

El 11 de enero de 2017 se verificó que la vulnerabilidad se había reintroducido en esa versión.

La Fundación Dr. Manuel Sadosky es una institución público privada cuyo objetivo es favorecer la articulación entre el sistema científico/tecnológico y la estructura productiva en todo lo referido a la temática de las Tecnologías de la Información y la Comunicación (TIC). Creada a través del Decreto Nº 678/09 del Poder Ejecutivo Nacional, la Fundación es presidida por el ministro de Ciencia, Tecnología e Innovación Productiva. Sus vicepresidentes son los presidentes de las cámaras más importantes del sector TIC: CESSI (Cámara de Empresas de Software y Servicios Informáticos) y CICOMRA (Cámara de Informática y Comunicaciones de la República Argentina) <vínculo>.

La aplicación "Como llego"

La aplicación de transporte público "BA cómo llego", desarrollada por el Gobierno de la Ciudad, registra en Google Play más de 1 millón de instalaciones y requiere de los usuarios los siguientes permisos: Ubicación aproximada (basado en la red) y precisa (basado en el GPS), acceso a fotos, datos multimedia y archivos, el almacenamiento de archivos, incluído el puerto USB, información de la conexión WiFi, ver las conexiones de la red y acceder a ellas completamente, ver la configuración de los servicios de Google, entre otros Envíe desde aqui su comentario sobre esta notaVolver al indice

---

[1] BPN Nº 650 del 14/02/19: "El RPA filtró centenares de correos privados de administradores".

[2] BPN Nº 617 del 10/10/17: "Rodríguez Larreta lanzó la 'Aplicación Oficial Consorcio Participativo’".

[3] BPN Nº 635 del 12/07/18: "El Proyecto Carrillo se convirtió en la Ley 5.983".

La Herramienta exacta y la más conveniente para difundir sus productos y servicios

Grupo de Pequeñas Noticias en Facebook

Compartir:



    

 Pequeñas Noticias en las redes sociales con toda la actualidad: Twitter - Grupo de Facebook - Noticias en Facebook - Google +


[ El contenido de este sitio -escrito, fotogáfico y artístico- está protegido por las leyes vigentes de propiedad intelectual - Queda prohibida su reproducción total o parcial -por el medio que sea- sin autorización escrita de Pequeñas Noticias ]

' ' '