Según el Laboratorio de Seguridad de Amnistía Internacional, una falla de seguridad en la aplicación de rastreo de contactos de coronavirus obligatoria de Qatar podría haber provocado la filtración de datos personales de cientos de miles de personas, incluidos números de identificación, ubicación e información de salud.
Después de que Amnistía alertó a las autoridades qataríes el jueves, repararon la falla en la aplicación . El incidente subraya los riesgos de las aplicaciones de rastreo de contactos . Los activistas de la privacidad temen que las aplicaciones puedan verse comprometidas por atacantes externos o utilizadas por los gobiernos para recopilar datos personales no relacionados con la pandemia.
Claudio Guarnieri, tecnólogo senior de Amnistía Internacional y jefe de su laboratorio de seguridad, dijo a BuzzFeed News que su organización encontró la falla que podría haber comprometido los datos de las personas.
"La aplicación descargó el código QR del servidor al realizar una solicitud particular que proporciona la identificación nacional que el usuario proporcionó en el registro", dijo. "Sin embargo, cualquier persona con los conocimientos técnicos suficientes para analizar el funcionamiento interno de las aplicaciones habría podido reconstruir el protocolo de red y notar que debido a que el servidor solo esperaba un número de ID para devolver el código QR, uno podría solicitarlo cualquier otra identificación en su lugar ".
Un hacker podría haber utilizado un ataque de fuerza bruta para generar todas las combinaciones posibles de los números de identificación, recuperando sus datos.
Para solucionar el problema, la versión actualizada de la aplicación tiene requisitos de autenticación más estrictos.
Qatar se ha unido a un grupo de varias docenas de países que han implementado aplicaciones de rastreo de contactos para toda o parte de su población; Es uno de los pocos países que han hecho que la descarga de la aplicación sea obligatoria. La aplicación, llamada Ehteraz, que significa "precaución", también puede acceder a fotos y videos en el teléfono del usuario.
Las autoridades qataríes han dicho que los datos personales de la aplicación se eliminarán dos meses después de la recopilación y que no hay motivo de alarma por la privacidad. La aplicación envía la información que recopila de los usuarios a una base de datos central y rastrea las ubicaciones visitadas por personas infectadas con el coronavirus.
