El día de hoy noté en redes sociales que varias personas le tenían miedo al app de Alerta Guate, la cual el Gobierno de Guatemala designó como la app oficial de comunicaciones con la población de Guatemala en tiempo de COVID-19, argumentando que era un app Israelí y tuvo apoyo de Google.
Al inicio creí que muchas de estas afirmaciones tenían demasiado tinte político, sin embargo lo que puedo hacer «de mi lado» es analizar los factores tecnológicos.
Mi objetivo bajo ningún motivo es demeritar o apoyar el trabajo del gobierno, ni unirme a alguna corriente ideológica. Creo firmemente que la tecnología es un medio que hay que utilizar cuando sea necesario, especialmente en crisis como las que estamos atravesando. Pero también creo que una aplicación de tipo gubernamental debe tener siempre la auditoria social mínima.
Permisos
La aplicación está diseñada para requerir los siguientes permisos:
Por si mismos la cantidad de permisos no es algo preocupante, ya que Android ha tenido la tendencia en los últimos años a volver los permisos más granulares. Lo único que me parece molesto en la aplicación es la insistencia para garantizar el permiso de «Do not disturb» lo cual en otras palabras significa que aunque coloquemos nuestro teléfono en modo no molestar, esta aplicación en particular nos dará las notificaciones. Similar a como se comporta Android Auto.
Como relata el screenshot de twitter el app efectivamente tiene acceso a:
- Obtener ubicación
- Grabar audio
- Utilizar las apps de telefono
- Acceder al almacenamiento
La única que me parece realmente preocupante es el acceso que tiene al almacenamiento ya que desconozco el objetivo para el cual tiene este permiso, de hecho en las nuevas versiones de Android ustedes mismos pueden denegar individualmente esos permisos, LO CUAL RECOMIENDO ENCARECIDAMENTE como en cualquier otra App de Android, por ejemplo en Android 9:
Comunicaciones
Al parecer la aplicación permitirá llamar directamente a servicios de emergencia y recibir comunicaciones mediante distintas vías, para esto utiliza como biblioteca de comunicaciones Twilio.
El gobierno anunció que la aplicación estará lista hoy por la noche (24 de marzo) por lo que aun no tiene backend, si monitoreamos los intentos de comunicación que realiza la aplicación, los mismos van hacia la API:
https://api.in-telligent.com
API a la cual se comunica Alerta Guate
La cual efectivamente coincide con el fabricante anunciado en Google Play:
La empresa que hizo el app
Si vemos los datos del fabricante, al parecer es una empresa dedicada a crear aplicaciones de alerta, pero de todos los países solo la app de Guatemala tiene un logo «diferente y oficial»:
Creería que el modelo de negocio de la empresa es brindar soluciones de uso gratuito, esperando a recibir soporte del gobierno y dar alertas con publicidad. Lo cual no es necesariamente malo, alguien tiene que pagar la infraestructura.
Creería que el único gobierno que lo ha hecho oficial es el gobierno de Guatemala. Como referencia, así se ve la aplicación en versión México, donde el banner en la parte inferior es un banner típico de apps de publicidad.
Acerca de la empresa
Luego de confirmar la empresa, traté de indagar un poco más al respecto, tanto en Crunchbase como en Twitter se presentan como una empresa estadounidense:
Si buscamos la empresa en LinkedIn, la mayoria de sus empleados están en Estados Unidos:
No encontré mayores referencias a una empresa Israelí como relatado por el presidente, tal vez fue un error de comunicación y el mensaje era «un contacto Israelí nos facilitó el uso de esta app con la empresa X».
Términos de uso (edit)
Al utilizar las apps de In-telligent, los usuarios se comprometen entre otras cosas a lo siguiente, de acuerdo a su website y en traducción libre:
- Solo se encuentra disponible para mayores de 18 años
- Estar de acuerdo con que la empresa recolecte información personal, identificable y vinculable con el usuario
- La geolocalización tambien es identificable y vinculable al usuario
- La información se utilizara para proveer información y también ofertas
- La información se puede compartir con terceros para fines publicitarios
Conclusiones
- Como en cualquier otra aplicación Android, el usuario que decida utilizar el app deberá estar consciente de los permisos que otorga
- Seria interesante analizar el código del app pero estoy 100% seguro que eso es ilegal y no lo intentare 😁
- Por si solo el modelo de negocio de la aplicación no es malo, en un mundo ideal todos los gobiernos tienen un sistema de alerta publico y tecnológico a través de apps, sms, teléfono, etc.. Pero esté momento de la historia es de lejos todo lo contrario a un mundo ideal. Me gustaría que en los hackatones que seguramente se realizaran en estos días se pudiera brindar una alternativa real, de código abierto y sobre todo que garantice que los datos se quedan en Guatemala, crítica con propuesta decía uno de mis profesores.
- Sinceramente más que el App, me preocupa que digan que es una app Israelí, espero que haya sido una confusión menor al respecto.
- Personalmente seguiré informándome vía Facebook con los «Giammatei Direct» y en la radio. No tengo los elementos suficientes para descartar el uso de la app de gobierno si se usa con permisos mínimos y consciente de que nuestros datos se compartirán con una API de terceros con fines comerciales.
- Tampoco tengo los elementos suficientes para confirmar que es una app Israelí, al menos no en la información publica disponible en internet.
Mozilla/5.0 (Android 8.1.0; Mobile; rv:68.0) Gecko/68.0 Firefox/68.0
Muy buen a análisis fundamentado
Mozilla/5.0 (X11; Linux x86_64; rv:74.0) Gecko/20100101 Firefox/74.0
Querés lechita?
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
Chilero!
Mozilla/5.0 (Linux; Android 9; ANE-LX3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Mobile Safari/537.36
Enterado, gracias
Mozilla/5.0 (iPhone; CPU iPhone OS 13_3_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.5 Mobile/15E148 Safari/604.1
Me parecio bueno el analisis pero creeria que fuera de contexto ya que hoy en dia no hay ningun app que no te pida todos los permisos que describiste en este app. Osea es algo normal que te lo pidan x lo mismo que hacen todos los apps recaudar datos. Cada quien los acepta si le parece pero los apps mas cotidianos son identicos.
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:75.0) Gecko/20100101 Firefox/75.0
@Alejandro: Así es, como dije en el post la app por si misma no me preocupa tanto a excepción del permiso de grabar cosas.
Me preocupa más la gobernanza, o el porqué se anuncia como una app Israelí cuando es una app comercial con un modelo de negocio claro (y que de hecho es un modelo común).
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:74.0) Gecko/20100101 Firefox/74.0
miren este video:
https://youtu.be/loCq8OTZEGI
por eso es buena idea negarle el permiso de acceder al sistema de archivos.
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:74.0) Gecko/20100101 Firefox/74.0
Perdon este es el video correcto:
https://www.youtube.com/watch?v=XhD-byNoCgk
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
No es noticia que hoy en día las APPS de una u otra manera tienen acceso a nuestra información? Bueno, igual esta aplicación. Pero no creo que sea tanto una alerta, puesto que, la aplicación tiene un login por medio de facebook y supuestamente es seguro.
En resumen: quieren privacidad? no usen internet!
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
Hola
Me interesaba saber tu análisis técnico, pero siento que al tratar de ser tan neutro y como con miedo a criticar (cuando la crítica en sí es una propuesta per se) el análisis se vuelve muy ambiguo. Además, no es lo mismo comparar un permiso de una red social o de una app netamente comercial, a una app promovida por el gobierno. En este caso la fiscalización social debe ser aún más fuerte y su implementación más transparente.
Por ejemplo, no comparto que el permiso ¨realmente preocupante es el acceso que tiene al almacenamiento¨ y no el de ¨grabar audio¨. ¿Por qué una herramienta que es para informar necesitaría grabar nuestro audio?
Aunque la App no lo indica, el presidente mencionó que uno de los donantes era Israel, quienes son pioneros en asuntos de seguridad y control. Por eso es necesario cuestionar y conocer bien esta relación, más que descartarla y pensar que todo es por nuestro bien…
Ojalá podamos seguir analizando esto, creo que no hay que dejarlo pasar tan a la ligera.
Saludos Vinitri
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
Me encantó.
Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36 Vivaldi/2.1.1337.36
No habría estado de mas pasar la aplicación por Exodus ya que en este reporte se puede ver que tiene 4 rastreadores (o tres si quitas el login de Facebook).
@Alejandro: Tampoco generalices, en f-droid.org encuentras muchas aplicaciones que no piden permisos a lo pendejo y con políticas mas claras debido a que son de código abierto.
@Vicente Chapero: Si te interesa hacer tu propia auditoria te puedes bajar el código fuente desde aquí (ni que fuera tan difícil descompilar aplicaciones de Android). Creo que lo importante esta en /com.intelligent.alertaguate_13_apps.evozi.com_source_from_JADX/sources/com/intelligent/alertaguate, el resto parecen ser librerías y cosas necesarias para que la aplicación funcione.
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1 Safari/605.1.15
Exlente investigación
The Incutio XML-RPC PHP Library
[…] [9] https://tuxtor.shekalug.org/una-auditoria-rapida-al-app-alerta-guate/ […]