Alerta Veracruz Mujer
Fechas de análisis
- Análisis estático (mediante Exodus Privacy/MobFS): 13/03/2023
- Análisis dinámico (mediante análisis de tráfico de red): 13/03/2023
- Análisis Posteriores:
Archivos analizados
Descripción de la aplicación
- Tipo: Botón de pánico
- Costo: Gratis
- Enlace de descarga: https://play.google.com/store/apps/details?id=com.artech.nuevoalerta.alertamujer
- Descargas: 50,000+
- Ultima fecha de actualización: 10/09/2021
- Versión: 1.79
- Desarrollador: http://www.veracruz.gob.mx/seguridad
- Firma: Armtech Consultores --> GeneXus
- Contacto: appveracruz@sspver.gob.mx
-
Condiciones de uso y Política de privacidad: https://alertagenero.sspver.gob.mx/alerta/avisoprivacidadmujeralerta.pdf
Wayback Machine: https://web.archive.org/web/20230314140705/https://alertagenero.sspver.gob.mx/alerta/avisoprivacidadmujeralerta.pdf -
Descripción en PlayStore:
Veracruz Mujer Alerta es una aplicación móvil del Gobierno del Estado de Veracruz en coordinación con la Secretaría de Seguridad Pública, dirigida a todas las mujeres veracruzanas para brindar asesoría y asistencia con base a la Declaratoria Alerta de Violencia de Género establecida en la actualidad, cuya finalidad es:
1. Identificar los Tipos y modalidades de la violencia contra la mujer.
2. Ubicar los lugares a los cuales se puede recurrir para su asesoría y denunciar estos actos en tu municipio.
3. Botón para generar una alerta cuando se encuentre en situación de violencia, estará enlazada con el Centro Estatal de Control, Comando, Comunicaciones y Cómputo (C4), quienes atenderán la situación y ubicación para procesar en tiempo y forma el apoyo de las alertas que sean emitidas.
Para el uso de esta aplicación se requieren conexión a datos móviles y geolocalización.
Trabajamos para una vida libre de violencia de género.
Rastreadores identificados (mediante Exodus Privacy)
- No hay rastreadores identificados
Enlace al reporte de Exodus Privacy
Empresas relacionadas con esta aplicación:
- GeneXus --> Artech Consultores. Desarrolladores de la aplicación
- Alphabet --> Google --> Sistema Android
- Qualcomm --> Servicios de geolocalización (vienen como parte del dispositivo)
- Amazon --> Almacenamiento en la nube
- Cloudflare --> Almacenamiento de los servidofres de la aplicación.
- Uninet --> Almacenamiento de dominios de Google
Dominios integrados al código de la app que no pertecen directamente a los rastreadores y que son de interés
- Nada que reportar
Permisos
- Según Exodus Privacy/MobFS: 16
- Según prueba de uso: 1
Permisos según Exodus Privacy
ACCESS_BACKGROUND_LOCATION
Access location in the background
ACCESS_COARSE_LOCATION
Access approximate location only in the foreground
ACCESS_FINE_LOCATION
Access precise location only in the foreground
ACCESS_NETWORK_STATE
View network connections
ACCESS_WIFI_STATE
View Wi-Fi connections
CHANGE_NETWORK_STATE
Change network connectivity
FOREGROUND_SERVICE
Run foreground service
INTERNET
Have full network access
READ_CONTACTS
Read your contacts
VIBRATE
Control vibration
WAKE_LOCK
Prevent phone from sleeping
WRITE_CONTACTS
Modify your contacts
WRITE_EXTERNAL_STORAGE
Modify or delete the contents of your shared storage
C2D_MESSAGE
RECEIVE
READ_GSERVICES
El icono indica un nivel 'Peligroso' o 'Especial' de acuerdo a los niveles de protección de Google.
Permisos según la Playstore
Contactos
- consultar tus contactos
- modificar tus contactos
Ubicación
- ubicación aproximada (basada en red)
- ubicación precisa (basada en red y GPS)
Fotos/Multimedia/Archivos
- leer el contenido de tu almacenamiento USB
- modificar o eliminar
Almacenamiento
- leer el contenido de tu almacenamiento USB
- modificar o eliminar contenido del almacenamiento USB
Información sobre la conexión WI-Fi - ver conexiones Wi-Fi
Otro motivo
- recibir datos de Internet
- ver conexiones de red
- cambiar conectividad de red
- acceso completo a red
- controlar vibración
- impedir que el disositivo entre en modo de suspensión
- leer la configuración de los servicios de Google
Permisos solicitados durante el uso de la aplicación
Acceso a la ubicación
Este ícono indica un permiso obligatorio
Datos
Datos solicitados al usuario durante el uso de la aplicación
- Número de teléfono
- Nombre
- Apellido
- Fecha de nacimiento
- Contacto de emergencia y número
Segundo contacto de emergencia- Foto: como archivo o a través de la cámara
Este ícono indica que se debe ingresar este dato de manera obligatoria.
Este ícono indica que estos datos son opcionales.
Tabla de conexiones realizadas durante el uso de la aplicación
| Dirección IP | Número de paquetes | País | Ciudad | Número AS | Organización AS | Dominio contactado |
|---|---|---|---|---|---|---|
| 104.21.64.97 | 3777 | United States | San Francisco | 13335 | CLOUDFLARENET | alertagenero.sspver.gob.mx |
| 108.156.211.37 | 50 | United States | 16509 | AMAZON-02 | izatcloud.net | |
| 142.250.65.110 | 48 | United States | 15169 | googleapis.com | ||
| 142.250.65.138 | 52 | United States | 15169 | googleapis.com | ||
| 142.250.65.142 | 330 | United States | 15169 | googleapis.com | ||
| 142.250.69.54 | 138 | United States | 15169 | googleusercontent.com | ||
| 142.250.113.188 | 59 | United States | 15169 | mtalk.google.com | ||
| 142.250.114.188 | 23 | United States | 15169 | mtalk.google.com | ||
| 142.250.115.188 | 70 | United States | 15169 | mtalk.google.com | ||
| 142.251.33.227 | 100 | United States | 15169 | gstatic.com | ||
| 142.251.33.234 | 6 | United States | 15169 | googleapis.com | ||
| 142.251.34.3 | 32 | United States | 15169 | googleapis.com | ||
| 142.251.34.10 | 260 | United States | 15169 | googleapis.com | ||
| 142.251.34.42 | 4 | United States | 15169 | googleapis.com | ||
| 142.251.34.106 | 39 | United States | 15169 | googleapis.com | ||
| 142.251.34.138 | 45 | United States | 15169 | googleapis.com | ||
| 142.251.34.142 | 743 | United States | 15169 | clientes.l.google.com | ||
| 142.251.34.202 | 63 | United States | 15169 | googleapis.com | ||
| 142.251.34.234 | 85 | United States | 15169 | googleapis.com | ||
| 142.251.34.238 | 280 | United States | 15169 | clients.google.com | ||
| 142.251.35.14 | 28 | United States | 15169 | clients.google.com | ||
| 142.251.218.138 | 149 | United States | 15169 | googleapis.com | ||
| 172.67.180.234 | 2244 | United States | San Francisco | 13335 | CLOUDFLARENET | alertagenero.sspver.gob.mx |
| 172.217.1.227 | 100 | United States | 15169 | gvt2.com | ||
| 172.217.2.138 | 46 | United States | 15169 | googleapis.com | ||
| 189.247.22.14 | 393 | Mexico | 8151 | Uninet S.A. de C.V. | gvt1.com | |
| 189.247.22.17 | 1786 | Mexico | 8151 | Uninet S.A. de C.V. | gvt1.com | |
| 189.247.22.18 | 109 | Mexico | 8151 | Uninet S.A. de C.V. | gvt1.com | |
| 189.247.22.78 | 5058 | Mexico | 8151 | Uninet S.A. de C.V. | gvt1.com | |
| 189.247.22.80 | 321 | Mexico | 8151 | Uninet S.A. de C.V. | gvt1.com | |
| 216.58.195.234 | 3206 | United States | 15169 | googleapis.com |
- Según esta página la localización del servidor con dirección 104.21.64.97 (que es host de la aplicación) es San Francisco, California, Estados Unidos.
- Lo mismo para el servidor con dirección ip 172.67.180.234 (el otro servidor de la aplicación).
- Los dominios contactados de Uninet en México pertencen a Google.
Mapa de conexiones realizadas durante el uso de la aplicación
Datos compartidos y uso según la Playstore:
- Como esta aplicación no se ha actualizado desde septiembre de 2021, no han agregado estos datos en la PlayStore.
Datos recopilados y uso según la Política de privacidad
-
En la política de privacidad no se indican qué datos recaban de la persona usuaria, solamente su uso:
- Prevención y detección de violencia de género
- Brindar información sobre los tipos y modalidades de violencia de género
- Recabar datos estadísticos sobre la violencia de género en el estado de Veracruz
- Brindar atención y/o orientación a las v+ictimas
- Estadísticas de control interno
- Brindar atención en momentos de emergencia
- Envío de mensajes emergentes con información sobre tipos y modalidades de la violencia de género
-
Los datos personales serán compartidos con autoridades distintas al responsable de la aplicación. Para revisar esto, redirige al aviso de privacidad integral (el de la aplicación y el de la PlayStore son simplificados). Este aviso no aparece en la página.
Otros datos recolectados:
- Sabemos, gracias a analizar el tráfico de red, que los servidores de la aplicación también recolectan:
- Lugar
- Idioma
- Versión Android
- Generan un ID del dispositivo
- Nombre del dispositivo (cada dispositivo tiene un nombre que no es comercial para identificar cada versión, en este caso "doha")
Funciones particulares de la aplicación:
- La aplicación cuenta con variada información que incluye:
- Qué es la alerta de género
- Tipos de violencia de género
- Modalidades de dicha violencia
- Un directorio que permite localizar, de acuerdo al municipio de Veracruz que se necesite, oficinas para hacer denuncias
- Números de teléfono de atención
- Violentómetro
- Parecería además tener una suerte de historial de las alarmas de género hechas por la persona usuaria (no sirve)
- A la hora de activar el botón de pánico se puede mandar un mensaje y agregar una imagen.
Notas importantes sobre seguridad y privacidad:
- La aplicación fue firmada por una empresa uruguaya llamada originalmente Artech Consultores y ahora llamada Genexus
- Las comunicaciones a los servidores de la aplicación (104.21.64.97 y 172.67.180.234), que pertenecen a CloudFlare, no están cifradas. Pruebas 1,2. Esto quiere decir que los datos personales de los usuarios (todos aquellos usados para el registro y que son enviados al servidor 104.21.64.97) además de las alertas de pánico 3 son susceptibles de ser interceptados por un atacante. A este servidor también se mandan datos de la geolocalización de la persona usuaria y tampoco están cifrados 4
- Tampoco los metadatos (de la sección "otros datos recolectados") están cifrados como se ve en la captura de pantalla número 2.
- Hay dos permisos, leer contactos y modificar contactos que pudieran ser de peligro, y la aplicación ni siquiera los utiliza, ya que no tienen ninguna función asociada.
- Para registrarse en la aplicación, la persona usuaria no recibe ningún mensaje por SMS para validar el número de celular. Nosotros nos registramos con un número inventado.
- Una vez registrado, la persona usuaria puede cambiar el número con el que se registró. La propia aplicación otorga, como se ve en esta captura de pantalla, el código de verificación. Esto permite registrar cualquier número de celular.
- Mandamos una alerta y se guardó con un folio 5. Después de activar la alarma, esta se puede desactivar 6. El problema es que no se puede volver a activar en 30 min. Comprobamos y, en efecto, después de 30 minutos ya se pudo volver a utilizar.
- Instalamos y desinstalamaos la aplicación varias veces y ya no nos volvió a solicitar ningún registro. De hecho, cambiamos la SIM, y fue igual. Una vez instalada se puede cambiar el número registrado sin ningún problema, y se puede reinstalar varias veces y los datos se mantienen. Parecería que la instalación se asocia con el dispositivo, más que con el número de teléfono.
- Si no se tiene Google Maps instalado, la aplicación no puede mostrar mapas.
- Aplicación debería solo funcionar para Android versión 10 y anteriores como lo indica el análisis de MobSF, pero logramos instalarla en versiones posteriores (12 y 13). De hecho, en la versión con Android 10 nunca logramos activar la alarma.
- Los datos personales de las personas usuarias son guardados en servidores que están fuera de la República Mexicana.
- Cuando uno no ha mandado todavía ninguna alerta, la función de "Mis alertas" primero muestra un mapa del mundo; la segunda vez que entramos a esta función muestra una serie de alertas a lo largo de la República Mexicana.
- Los servidores de Uninet contactados tienen dominios de Google.
.png){kind=link}
.png){kind=link}
.png){kind=link}
Conclusiones
- Las comunicaciones no cifradas representan un riesgo muy alto de seguridad. Las personas usuarias podrían ser víctimas de un "ataque de hombre en el medio".
- La posibilidad de registrar cualquier número de celular y cambiarlo sin ningún tipo de validación podría representar un riesgo de seguridad.
- Consideramos que el no poder activar la alarma de nuevo en un espacio de 30 min. es un problema de seguridad para las personas usuarias ya que si por algún error desactivaron la primera alarma, ya no pueden usar la aplicación.
- El hecho de que la aplicación no nos haya funcionado en Android 10 (no pudimos probarlo en otros celulares) podría ser un problema si no se le avisa a la población de este problema (si es que realmente existe y no fue un problema relacionado directamnete con nuestros equipos).
- No hay rastreadores, lo que es bueno, y los datos enviados a otras empresas son mínimos y coinciden con los estándares de las aplicaciones en Android.
- La falta de rastreadores que analicen fallos en la aplicación podría suponer un problema en la calidad del desarrollo de la aplicación.