No me cabe duda de que la peticion estará encriptada
Mentira
Lo tienes en el codigo de la aplicación de ejemplo de paginas atras. Que lo puedes hacer con una llamada a pelo si quieres.
Yo he trabajado en una empresa de software, en la que los CIF/DNI venían sin hashear directamente desde el cliente (todo bancos, los más tochos de España) a un JSON. A pelito.
Y por LOPD estaban obligados a hashear/saltear.
Qué no hará el gobierno más analfabeto digital de Europa?
#272 Entiendo que era un DNI dentro de una conexion encriptada, sino me vas a tener que decir el nombre del banco xD.
Es grave, pero me parece diferente, hoy en dia no encriptar una conexión es bastante raro.
Segun este link si que esta encriptada la conexión con el servidor: http://www.caib.es/sites/radarcovid/es/radar_covid/?campa=yes
Pero siempre se puede hacer un analisis de las peticiones para aseguraros.
Es grave, pero me parece diferente, hoy en dia no encriptar una conexión es bastante raro.
En el ejemplo no va encripatada.
Nosotros recibíamos un JSON por correo, el cual procesábamos en AWS. Vamos que hasta un wireshark te podía sacar el archivo xd.
Te suena uno con el logo rojo? Otro al que han rescatado no hace mucho? Y alguno más pequeño me dejo que también lo hacía.
Y no eran los 90 eh, fue hace unos años.
Hostia pero si va sin certificado AJAAJAJ
#270Dante88:La base de datos esta gestionada por Apple/Google no puedes mirar adentro, ni saber cuantas IDs hay ni de donde vienen.
No hace falta mirar dentro de nada. Solo una consulta a la API con tu código y ese código lo saco de estar a tu lado un rato.
#270Dante88:No me cabe duda de que la peticion estará encriptada y que no se sabra desde fuera si estas solicitando claves de otros infectados o comunicando tu infección.
No hay petición alguna. Tu móvil se descarga la lista de infectados de tu zona que las autoridades sanitarias ponen a disposición.
Luego la app, vía la API, comprueba si tu lista local tiene matches con la lista de infectados de las autoridades.
Todo eso se mezcla con un poco de criptografía asimétrica para tener hashes rotativos y pista.
Es sencillo.
Lo único que tu móvil envía: es si estás introduciendo tu código de infectado. En tal caso estarías linkando tu móvil con el registro de paciente que sanidad ya tiene. Para que sanidad actualice la lista de infectados. Una tontería vamos.
#269 Tu móvil no envía nada. La verificación y el cruce de datos entre tus contactos y los infectados la hace tu móvil, no un servidor de google. Por eso es segura la app.
#271Runig006:Que lo puedes hacer con una llamada a pelo si quieres.
En teoría, únicamente puede hacer llamadas a la API la app RadarCovid.
Al menos eso dijo Google. Que únicamente se concedería una licencia para la API por país. Si no, las apps de cada CCAA estarían también ligadas al sistema y no es el caso.
#276 Cuando estás infectado, y de manera voluntaria, debes enviar los códigos a un servidor. Estos códigos son rescatados por los clientes y es en ese momento cuando la app te dice "Tienes un riesgo X de estar infectado" y te dice consejos para actuar.
La app es segura porque estos códigos no son datos personales y son pseudo-aleatorios (no me gusta hablar de "aleatoriedad" en programación y menos sin conocer el algoritmo) generándose uno diariamente.
Lo que yo comento no va en hacer un "man in the middle" y poder sacar los códigos de alguna manera, si no más bien en el mero hecho de hacer la petición al servidor de turno. Sobretodo que datos puede cruzar google/apple... que ya, que no lo hacen y lo juran por la palabrita del señor. Eso espero... pero si Google ha dicho más de una y mil veces es que su propósito como empresa es controlar toda la información del mundo (literamente).
Si desde tu movil te logeas en youtube y luego mandas los códigos a un servidor que controla google... para google hacer 1+1 no le constará mucho.... es cuestión de tirar del hilo.
Todo esto son suposiciones, no se como está montada la infraestructura cliente<->servidor ... he visto algunos servidores de google con "apktool", pero nada en claro... eso si, la app parece ser una plantilla al que le han cambiado assets y strings xD tienen mucho texto sin traducir.
#278 Es que la lista de infectados está colgada en internet.
Cualquiera con su móvil y la app la está bajando, simplemente es una lista con un chorro de hashes. Es irrelevante que esta lista venga en texto plano o que venga encriptada. La lista per se no tiene utilidad alguna.
El que recibe la info con el codigo que te da el médico es sanidad y luego crea dicha lista de infectados. Pero es irrelevante porque sanidad ya sabe quien está infectado y la lista per se no dice nada, como ya dije anteriormente.
La chicha y el peligro de la APP está en la lista de contactos que la API de google/apple genera en tu móvil. Eso es lo que hay que proteger y eso no sale en ningún momento de tu móvil. Así que a todos números debería ser seguro.
Aquí os estáis haciendo la picha un lío con los "infectados" y la "lista de infectados" cuando el asunto grave de la app está en "hashes que mi móvil ha visto" y cómo de segura es esa base de datos.
Este punto es el peligroso. Tener otro vector a nuestra privacidad para saber cerca de quien estamos y cuando.
Que haya 4 infectados en España y su vínculo con el móvil es irrelevante.
#280 No. Google/Apple no tiene nada. Ellos solo han desarrollado una herramienta y una API.
El gobierno/sanidad ya tiene lista de infectados con el nombre, apellidos, teléfono y dirección de cada infectado.
La chicha está en saber dónde está fulanito con X hash.
Eso no lo puede saber ninguna empresa. Ni sanidad, ni Google, ni nadie. Únicamente la gente que haya estado cerca de ese fulanito. Porque esa información está en el móvil de cada uno y esa información no abandona los móviles de nadie, nunca.
#206 Sé cómo funciona la enfermedad, lo que no sé es como funciona la app (bueno ahora sí y me sigue pareciendo imprecisa y alarmante)
#209 Lo sé, ya me lo han aclarado, igualmente la sigo viendo imprecisa (por el tiempo de exposición+distancia) y porque me resulta tremendamente alarmante cuando es muy probable que en muchos de esos avisos haya sido casi imposible el contagio, para un paranoico cualquier aviso debe de ser una sentencia de muerte, es un ''por si acaso'' demasiado exagerado.
#214 No tiene nada que ver con la privacidad, soy tremendamente consciente de que más de la mitad de apps que uso violan mi privacidad constantemente y la venden a terceros aunque digan que no.
igualmente la sigo viendo imprecisa (por el tiempo de exposición+distancia)
En verdad no hay nada más preciso que calcular el tiempo de exposición + distacia. Vamos, ni rastreadores ni nada, eso es precisión total.
Pronto veremos algún hilo de Twitter de alguna peliazul diciendo que intentaron acosarla a través del RADAR COVID
#286 Ya pero la cuestión es ¿ a qué distancia y en cuánto tiempo de exposición te avisa la app? ¿lo pone en algún sitio? ¿cuál es su parámetro? porque no es lo mismo que te avise a 10 metros 2 minutos que a 30cm 4 horas.
#288 Esos parámetros los tiene Google internamente, configurables hasta cierto punto.
Ellos por detrás tienen en cuenta intensidad del Bluetooth, que no distancia, y el tiempo.
Y los valores de esos parámetros, la verdad es que ni nos van, ni nos vienen. Los tiene muy en cuenta a la hora de calcular el riesgo, que más da como los configuren?
El gobierno es el más interesado en que no pite a todo cristo, no puede hacer tantas pruebas
#289 Por lo dicho, porque no es lo mismo estar a 10 metros 2 minutos que estar a 30cm 4 horas, también te puede detectar cercanía por bluetooth con intensidad alta a través de una pared estando cada persona pegada al extremo de su lado y darte intensidad alta de contagio habiendo un puto muro en medio.
A esas tonterías me refiero.
#290 Y como tú has dicho...es una tontería y no tiene importancia, lo del muro digo. A lo sumo te va a pasar 1 vez, llamas te hacen el test, negativo. Porque no saben si es tu primo, tu vecina o el autobusero.
No es algo grave. A parte...com un muro en medio hay menos intensidad
#291Runig006:lamas te hacen el test, negativo.
Como es tan fácil que te hagan un test sin síntomas, e incluso con síntomas... así easy and fast, como se normalice el uso de esta app se van a venir aluviones de PCR's injustificadas cada dos por tres por culpa de la mala programación.
#291Runig006:A parte...com un muro en medio hay menos intensidad
Porque tú lo digas, no te jode, si es un muro de hormigón de 50cm a lo mejor, pero no todos vivimos en un bunker.
#292 Puedes hacer tu mism@ la prueba, hay un motón de Testers de Bluetooth. A mi a veces se me desconecta si ando por el pasillo y cierro una puerta, bueno no se desconecta pero si que se jode el sonido
Los que han programado la puntuación son los de Google...no un tío random, que igual igual...saben lo que hacen. Y si da muchos falsos aviso, se cambian la puntuación mínima a una superior y ya, solo hay que actualizar la aplicación
#293 A ver, no me hace falta hacer la prueba, he pasado archivos como fotos a través de paredes, te hablo de pasarle cosas a mi vecina de al lado a través de bluetooth (y para quien se extrañe de ésta rareza es una señora mayor sin whatsapp)
Y no sé si será el mismo pero mis auriculares del PC también lo soy y puedo seguir escuchando música aunque esté en el salón de mi casa y el PC en la habitación (4 habitaciones de por medio) sin problemas.
El bluetooth no es tan mierda como algunos se piensan, le jode más la distancia que los obstáculos me da a mí.
#294 Que esten conectados no significa que tengan la misma intesidad. Por eso te he dicho, que hagas la prueba y compares tu mism@.
Igual que con el Wifi
"A mi me va rapido, eso es que la conexión es buena" Y lo mismo esta tirando paquetes a troche y moche porque llega lo justo, pero nunca se cae y no te pispas nunca.
#295 Intensidad media-alta en el caso del móvil (mi antiguo móvil ya me marcaba la intensidad propia de la conexión bluetooth una vez establecida) la de los cascos ni idea.
Pero vamos, ya te digo que van a dar ''positivos'' por gente que no está ni en el mismo edificio o habitación.
Buena app de mierda nos han colao, sigo sin verle la utilidad por ninguna parte.
#296 Y sera un numero pequeño y gestionable.
En distancia segun Xataka
Radar Covid usa esta API para poder calcular con quién te has cruzado recientemente y según a esta información te dice tu nivel de riesgo. Para hacerlo, se tiene en cuenta las personas con las que te has cruzado los 14 días anteriores a menos de 2 metros de distancia, por un período de más de 15 minutos.
2 metros no son muchos precisamente, y más si encima vas añadiendo muros.
Por cierto, usa servicios de Google, así que moviles Huawey nada de nada. Se chapa la aplicación al intentar abrirla parece ser.
