Vie. 3.07.2020
Investigación  |  28 de Abr. 2020

Escándalo en puerta

Demoledor informe contra la aplicación de Melella

captura @maxifirtman
Foto captura @maxifirtman
Por redes sociales el programador y profesor, Maximiliano Firtman, publicó las conclusiones a las que llegó luego de analizar técnicamente la aplicación "TDFunida", creada por la empresa Pixart SRL, para el Gobierno de Tierra del Fuego, con el fin de controlar los movimientos de los ciudadanos en el contexto de la crisis sanitaria por el Coronavirus.

En su demoledor informe, el profesional asegura, al analizar la parte técnica, que la app "está creada por amateurs o gente que aprendió a hacer apps de Android hace 2 semanas" y que la aplicación "no es profesional, ni en UX, ni en programación, ni en buenas prácticas, ni en accesibilidad, ni en seguridad. Si fuera privada y no de gobierno no sería aprobada".  

Respecto de la empresa Pixar SRL, de la que dice que "existe hace un tiempo y se dedicaba a Linux aparentemente y desarrollo de sistemas. Pero de Android o apps Mobile no pude encontrar experiencias previas".

Y concluye en que se ve "claramente una contratación de algo que no está a la altura de una calidad mínima para que el Estado contrate. Esto no es culpa de los programadores que la hicieron sino de quien decidió que así se haga".  

En cuanto al análisis de la aplicación Firtman lo resume con un lacónico "No sé ni por dónde empezar", para posteriormente detallar las falencias que encontró.

Seguridad

1) se puede sacar más de un usuario con la misma dirección ficticia.

2) En la identificación del usuario y contraseña, no hay seguridad alguna, podes usar un usuario de una letra y una contraseña de un dígito.  

Licencia de usos

1) En el contrato de Licencia de Uso se equivocaron y pusieron como el contrato con el usuario, el contrato de Pixart con la gobernación, por lo que "le hacen aceptar a los usuarios que le van a pagar mensualmente a la empresa".  

2) Los términos indican qué datos la app recolecta y para qué. Sin embargo, el código de la app indica que también se leen otras características: velocidad de movimiento, tipo de actividad probable (caminata, correr, bicicleta, vehículo, IMEI, dirección IP, dirección Mac, número de teléfono y número de serie del teléfono". En este punto aclara que "no investigué si esos datos se envían al servidor o no, pero si la app los recolecta al menos. Esto no está mencionado en los términos".

Funcionalidad

La mitad de las operaciones no funcionan, ni siquiera los teléfonos de emergencia. El servidor adonde se almacena y consulta la información es http://salud.pixartargentina.com.ar y no es administrado por el Estado.  

Usabilidad

TERRIBLE. Para empezar, no hay formulario de login y otro de registro. ¡Es el mismo! simplemente ponés tus datos y pasás, si estabas, y sino sos nuevo. ¿Tipeaste mal tu clave? Arreglate.  

 Accesibilidad  

Cero.

QR para circular  

El sistema en los servidores de la empresa le devuelve a la app un resultado positivo o negativo. Según eso muestra un código QR que lleva tu nombre, DNI, domicilios de origen y destino de la salida, hora de inicio y fin y SI ES POSITIVO O NEGATIVO. El QR no lleva seguridad. 

Cualquiera con algo de conocimiento, se hace el código QR para que diga lo que quiera y que diga POSITIVO por ejemplo. El QR no va encriptado, no genera un código de validación desde el servidor ni nada y usa simplemente estándares conocidos con estos datos separados por coma.

Si tuviste fiebre y algún síntoma respiratorio, la app pasa a modo cuarentena (aún sin cargar ningún DNI ni nada, o sea, no valida absolutamente nada). En modo cuarentena te cuenta 14 días y vos tenés que entrar día a día a decir cuánta fiebre tenés y los QR serán negados.

Disponibilidad  

Si tenés un iPhone (7% de usuarios), la app no está disponible; y si tenés un Android menor a 6.0 (38% de los Android) tampoco. Eso deja al 42% de los fueguinos sin posibilidad de instalar la app.