Saltar a contenido

Botón de Auxilio Jalisco

Fecha de análisis

  • Análisis estático (mediante Exodus Privacy): 12 abril 2022
  • Análisis dinámico (mediante análisis de tráfico de red): 12 abril 2022
  • Análisis posteriores: 9 agosto 2022 / 17 octubre 2022

Archivos analizados

apk versión 94
pcap versión 94

apk versión 95
pcap versión 95

apk versión 96
pcap versión 96

Descripción de la aplicación

El Botón de Auxilio Jalisco es una aplicación para smartphones del Estado de Jalisco que
permite que el usuario registrado pueda enviar una alerta inmediata al Centro de Coordinación,
Comando, Control, Comunicaciones, y Cómputo del Estado de Jalisco (Escudo Urbano C5 Jalisco).

La aplicación envía directamente la alerta al Escudo Urbano C5, en donde personal calificado recibe
el caso y efectúa todos los pasos establecidos para dar curso a la situación y resolver el problema
de manera rápida y efectiva.

Recuerde en casos de emergencia se sugiere llamar a la línea 9-1-1. En caso que esto no sea posible,
esta aplicación surge como una vía alternativa de contacto con las autoridades para denunciar un
caso de emergencia. Tan sólo presionando el botón de pánico sus datos previamente registrados en el
sistema y su geolocalización son enviadas automáticamente al Escudo Urbano C5.
Utiliza esta aplicación con responsabilidad.

Trackers identificados (mediante Exodus Privacy)

** Desde la versión 95 ya no hay trackers**
Enlace al reporte.

Empresas relacionadas con esta aplicación

Permisos

  • Según la Playstore: 🚫 12 permisos --> 15 permisos.
  • Según Exodus Privacy: 🚫 15 permisos --> 14 permisos.
  • Según prueba de uso: 5 permisos que se piden de manera explícita.

*Las secciones marcadas con 🚫 son secciones que ya no aplican porque cambiaron en una versión más reciente. Las mantenemos por objetividad en la documentación

Permisos según la PlayStore

Esta aplicación puede acceder a:

  • imagen Contactos

    • Consultar tus contactos

  • imagen Ubicación

    • Ubicación aproximada (basada en red)
    • Ubicación precisa (basada en red y GPS)

  • imagen Teléfono

    • Llamar directamente a números de teléfono
    • Consultar la identidad y el estado del teléfono

  • imagen Fotos/multimedia/archivos

    • Leer el contenido de tu almacenamiento USB
    • 🚫 Modificar o eliminar contenido del almacenamiento USB

  • imagen Almacenamiento

    • Leer el contenido de tu almacenamiento USB
    • Modificar o eliminar contenido del almacenamiento USB

  • imagen ID de dispositivo e información de llamada

    • Consultar la identidad y el estado del teléfono

  • ❔ Otro

    • 🚫 Recibir datos de Internet
    • Ver conexiones de red
    • Acceso completo a red
    • Mostrar sobre otras aplicaciones
    • Controlar la vibración
    • Impedir que el dispositivo entre en modo de suspensión
    • Leer la configuración de los servicios de Google

Permisos según Exodus Privacy

  • imagen❗ ACCESS_COARSE_LOCATION
    Access approximate location (network-based)

  • imagen❗ ACCESS_FINE_LOCATION
    Access precise location (GPS and network-based)

  • ACCESS_NETWORK_STATE
    View network connections

  • imagen❗ CALL_PHONE
    Directly call phone numbers

  • FOREGROUND_SERVICE
    Run foreground service

  • INTERNET
    Have full network access

  • imagen❗ READ_CONTACTS
    Read your contacts

  • imagen❗ READ_PHONE_STATE
    Read phone status and identity

  • ❗SYSTEM_ALERT_WINDOW This app can appear on top of other apps (Este es un nuevo permiso necesario para una nueva función)

  • VIBRATE
    Control vibration

  • WAKE_LOCK
    Prevent phone from sleeping

  • imagen❗ WRITE_EXTERNAL_STORAGE
    Modify or delete the contents of your SD card

  • 🚫 RECEIVE

  • READ_GSERVICES

  • 🚫 C2D_MESSAGE

  • MAPS_RECEIVE

El icono ❗ indica un nivel 'Peligroso' o 'Especial' de acuerdo a los niveles de protección de Google.

Permisos solicitados durante el uso de la aplicación

  • 🔴 Acceso a Ubicación
  • 🔴 Acceso a Contactos
  • 🔴 Acceso a Llamadas
  • 🔴 Acceso a Almacenamiento
  • 🔴 Acceso a Estado del Teléfono

🔴 Este ícono indica un permiso obligatorio

Datos

Datos solicitados al usuario durante el uso

  • 🔴 Nombre
  • 🔴 Apellido Paterno
  • ⚪ Apellido Materno
  • 🔴 Correo electrónico
  • 🔴 Número de teléfono
  • 🔴 Número de contacto
  • ⚪ Dirección
  • ⚪ Riesgos o padecimientos
  • ⚪ Si se es sordo o no
  • ⚪ Tipo de usuario (Incluye: particular, transporte público, transporte privado, escuela, tienda de conveniencia, nave industrial, otro).
  • ⚪ Puesto en caso de haber seleccionado alguna empresa en la pregunta anterior.

🔴 Este ícono indica que se debe ingresar este dato de manera obligatoria.
⚪ Este ícono indica que estos datos son opcionales.

Tabla de conexiones realizadas durante el uso de la aplicación

Dirección IP Número de paquetes País Ciudad Número AS Organización AS
131.196.248.8 140 México Zapopan 265524 COEFICIENTE COMUNICACIONES SA DE CV
142.250.68.42 62 United States 15169 GOOGLE
142.250.68.74 76 United States 15169 GOOGLE
142.250.72.174 858 United States 15169 GOOGLE
142.250.101.188 2 United States 15169 GOOGLE
142.250.141.188 36 United States 15169 GOOGLE
142.250.176.3 23 United States 15169 GOOGLE
142.250.176.4 80 United States 15169 GOOGLE
142.250.188.234 27 United States 15169 GOOGLE
142.250.189.10 39 United States 15169 GOOGLE
142.251.40.35 23 United States 15169 GOOGLE
142.251.40.42 1066 United States 15169 GOOGLE
142.251.40.46 3 United States 15169 GOOGLE
172.217.14.74 33 United States 15169 GOOGLE

Mapa de conexiones

Notas sobre datos recolectados

  • 🚫 El servidor de Coeficiente Comunicaciones es el Host de la app. Los datos de las llamadas de emergencia hechos a través de los botones de auxilio se mandan en texto plano. También los datos de registro del usuario mencionados en la sección "Datos solicitados al usuario durante el uso" son enviados en texto plano (http sin cifrar).

  • 🚫 La aplicación contacta a los servidores de Google por dos razones: los mapas y la geolocalización y por los trackers de Firebase, Analytics, Crashlytics, Tag Manager y Admob. Firebase recolecta toda una serie de eventos realizados en la aplicación. Aquí los enlaces a todos los eventos y datos que, de manera estándar se recolectan 1, 2, 3.

  • 🚫 Los trackers Crashlytics y Analytics son dos subtrackers de Firebase. El primero tiene la función de mejorar la aplicación al mandar reportes de cierres inesperados de la aplicación, el segundo otorga información sobre su uso, lo que no necesariamente es malo. Sin embargo AdMob es un tracker para mostrar banners de publicidad dentro de la aplicación mientras que TagManager es un tracker que permite etiquetar secciones de código.

Tabla de relación entre permisos y funciones

Permisos Función relacionada
ACCESS_COARSE_LOCATION Servicio de ubicación
ACCESS_FINE_LOCATION Servicio de ubicación
ACCESS_NETWORK_STATE Internet
CALL_PHONE Llamadas 911
FOREGROUND_SERVICE Botón de pánico
INTERNET Internet
READ_CONTACTS Agregar contactos de emergencia
READ_PHONE_STATE Llamada 911
VIBRATE Botón de pánico
WAKE_LOCK Botón de pánico
SYSTEM_ALERT_WINDOW Función de Acceso rápido
WRITE_EXTERNAL_STORAGE No sabemos para qué lo necesita
🚫RECEIVE Push notifications
READ_GSERVICES Servicio de ubicación
🚫C2D_MESSAGE Push Notifications
MAPS_RECEIVE Permiso innecesario

Funciones específicas de la aplicación

  • Tiene un botón "Prueba de Servicio" que permite verificar que todo funciona sin que se haga una llamada o notificación real de emergencia.
  • Incluye Auxilio Ciudadano (Policía); Bomberos; Médicos y llamada directa a 911.
  • Incluye botón de acceso rápido (3 toques seguidos del botón de apagado o bloqueo). Con esto, según la documentación, se hace un aviso de emergencia de manera automática. Como la prueba se hizo fuera de Jalisco, no pudimos probar esta funcionalidad. Esta función, en la nueva versión está implementada de una manera distinta.
  • Permite modificar los datos, la contraseña y darse de baja de la cuenta.

Notas

  • La aplicación no funciona si no se le concede el permiso de ubicación precisa.
  • La aplicación no funciona si no se tienen datos y una tarjeta SIM en el celular. Con WiFi no funciona.
  • 🚫 No logramos darnos de baja. Decía que el teléfono o la contraseña estaban mal.

Conclusiones

  • 🚫 La cantidad de trackers presentes es demasiada. En particular la presencia de AdMob, que sirve para mostrar anuncios, no se explica.
  • 🚫 Como las llamadas al servidor de Coeficiente Comunicaciones no están cifradas, tenemos un serio problema de seguridad, ya que los datos de perfil del usuario, y las llamadas de emergencia hechas por los botones de pánico, están en texto plano. También nos hace preguntarnos si los datos de los usuarios en el servidor están cifrados.
  • Nos queda la duda si, al darse un usuario de baja, los datos de dicho usuario se quedan o no almacenados. En todo caso, es la única aplicación analizada que hasta ahora tiene esa función.
  • La relación entre permisos y funciones es relativamente simétrica. Fuera de maps_receive que ya no es un permiso necesario para Google maps desde la versión 3.1.59 de Google Services, nos queda la duda la utilidad del permiso write_external_storage

Adenda actualización versión 95

  • La nueva versión tiene algunos cambios en la interfaz. Según la bitácora de cambios de la PlayStore, lo que cambiaron fue esto:
    • Nueva imagen
    • Botón para elegir el tipo de alerta (Seguridad, bomberos, médica). Eso ya estaba en la versión anterior.
    • Términos y condiciones
    • Las personas sordas podrán enviar mensajes de texto
  • Volvimos a comprobar, con la actualización para ver si las llamadas al servidor de Coeficiente Comunicaciones siguen sin estar cifradas y, en efecto, así fue.
  • En la nueva versión ya no hay ningún tracker.
  • En esta versión la función darse de baja no funcionó.

Adenda actualización 96

  • Después de haberles mencionado el problema de seguridad sobre los datos no cifrados, actualizaron la aplicación a esta versión y ahora ya están cifrados.
  • La función para darse de baja ya sirvió.