C0050
La Afirmación
“No mencionó en la política de privacidad de la aplicación COVIDSafe que la información sobre el modelo del teléfono y el nombre del dispositivo (por ejemplo, "iPhone de María") se transmitía por Bluetooth. Un ejemplo de explotación de esto es que un agresor de violencia doméstica puede saber si la víctima está en casa y sus compañeros de casa no, sin poner un pie en el edificio.”
Fuente Original: Matthew Davis
Analizado: 29 Jan 2026
Fuentes Originales
✅ VERIFICACIÓN DE HECHOS
La afirmación principal contiene múltiples elementos técnicos y factuales que requieren verificación cuidadosa:
The core claim contains multiple technical and factual elements that require careful verification:
### Lo que Muestra Realmente la Documentación CVE ### What the CVE Documentation Actually Shows
EXISTE una vulnerabilidad genuina de Bluetooth en COVIDSafe (Android v1.0.17 y anteriores), documentada como **CVE-2020-12860** y **CVE-2020-12856** [1][2]. There IS a genuine Bluetooth vulnerability in COVIDSafe (Android v1.0.17 and earlier), documented as **CVE-2020-12860** and **CVE-2020-12856** [1][2].
Sin embargo, la caracterización de la afirmación sobre qué información se expone es parcialmente precisa pero requiere contexto importante. However, the claim's characterization of what information is exposed is partially accurate but requires important context.
Según la documentación técnica CVE-2020-12860, COVIDSafe hasta v1.0.17 "permite a un atacante remoto acceder a la información del nombre y modelo del teléfono porque un dispositivo BLE puede tener cuatro roles y COVIDSafe usa todos ellos" [1]. According to the CVE-2020-12860 technical documentation, COVIDSafe through v1.0.17 "allows a remote attacker to access phone name and model information because a BLE device can have four roles and COVIDSafe uses all of them" [1].
Esto permite la "reidentificación de un dispositivo, y potencialmente la identificación del nombre del propietario" [1]. This allows for "re-identification of a device, and potentially identification of the owner's name" [1].
Una vulnerabilidad separada, CVE-2020-12856, descubierta por los investigadores Jim Mussared y Alwen Tiu, describe un "problema de emparejamiento silencioso" donde "el proceso de vinculación implica intercambios de identificadores permanentes del teléfono víctima: la dirección de identidad del dispositivo bluetooth en el teléfono y una clave criptográfica llamada Clave de Resolución de Identidad (IRK)" [3]. A separate vulnerability, CVE-2020-12856, discovered by researchers Jim Mussared and Alwen Tiu, describes a "silent pairing issue" where "the bonding process involves exchanges of permanent identifiers of the victim phone: the identity address of the bluetooth device in the phone and a cryptographic key called Identity Resolving Key (IRK)" [3].
Cualquiera de los identificadores puede usarse para el "seguimiento a largo plazo del teléfono" [3]. Either identifier can be used for "long term tracking of the phone" [3].
### Transmisión del Nombre del Dispositivo - Se Necesita Clarificación ### Device Name Broadcasting - Clarification Needed
Un detalle crítico: Según un hilo de Twitter del investigador de seguridad Matthew Rocklin (@matthewrdev), "la aplicación *no* transmite el nombre del dispositivo" en la operación estándar de la aplicación [4]. A critical detail: According to a Twitter thread by security researcher Matthew Rocklin (@matthewrdev), "the app *does not* broadcast the device name" in the standard operation of the app [4].
En cambio, "cuando otro teléfono te detecta, te identifican usando una dirección Bluetooth y no un nombre de dispositivo" [4]. Instead, "when another phone detects you, you are identified using a Bluetooth address and not a device name" [4].
Sin embargo, la vulnerabilidad CVE-2020-12860 permite a los atacantes extraer información del modelo del teléfono Y el nombre del dispositivo a través del mal uso de roles BLE, lo que significa que el nombre del dispositivo SÍ es accesible a través de la explotación de esta vulnerabilidad, incluso si no se transmite en operación normal [1][2]. However, the CVE-2020-12860 vulnerability allows attackers to extract phone model AND device name information through BLE role misuse, meaning the device name IS accessible through exploitation of this vulnerability, even if not broadcast in normal operation [1][2].
### Divulgación de la Política de Privacidad ### Privacy Policy Disclosure
Respecto a la afirmación de que esto no se mencionó en la política de privacidad: La investigación académica de QUT sobre la implementación de COVIDSafe encontró que el gobierno proporcionó una Evaluación de Impacto de Privacidad centrada en la recolección de datos Bluetooth [5]. Regarding the claim that this wasn't mentioned in the privacy policy: The QUT academic research on COVIDSafe implementation found that the government provided a Privacy Impact Assessment focusing on Bluetooth data collection [5].
Sin embargo, los detalles específicos de qué información podría extraerse a través de vulnerabilidades BLE pueden no haber sido detallados explícitamente en la documentación de la política de privacidad orientada al consumidor [5]. However, the specifics of what information could be extracted through BLE vulnerabilities may not have been explicitly detailed in consumer-facing privacy policy documentation [5].
La política de privacidad sí notó que "un escaneo Bluetooth puede usarse para recopilar información sobre la ubicación del usuario" [6], pero puede que no haya detallado la vulnerabilidad específica de extracción de nombre/modelo del dispositivo [5]. The privacy policy did note that "a Bluetooth scan can be used to gather information about the location of the user" [6], but may not have detailed the specific vulnerability of device name/model extraction [5].
Contexto Faltante
### Cronograma y Estado del Parche
### Timeline and Patch Status
La vulnerabilidad fue reportada a DTA (Departamento de Asuntos Internos) el 5 de mayo de 2020, y **fue corregida en COVIDSafe (Android) v1.0.18** [3]. The vulnerability was reported to DTA (Department of Home Affairs) on May 5, 2020, and **was fixed in COVIDSafe (Android) v1.0.18** [3].
La aplicación fue desplegada el 26 de abril de 2020, lo que significa que esta vulnerabilidad existió durante aproximadamente 3 semanas antes de que los parches estuvieran disponibles [1][3]. The app was deployed April 26, 2020, meaning this vulnerability existed for approximately 3 weeks before patches were available [1][3].
La corrección fue implementada rápidamente después del descubrimiento [3]. The fix was implemented promptly after discovery [3].
### Explotación de Violencia Doméstica - Teórica vs Probada ### Domestic Violence Exploitation - Theoretical vs Proven
Si bien la afirmación presenta un escenario donde "un agresor de violencia doméstica puede saber si la víctima está en casa y sus compañeros de casa no", esto parece ser una **vulnerabilidad teórica más que evidencia documentada de explotación real** [1][3]. While the claim presents a scenario where "a domestic violence abuser can tell whether the victim is at home and their house-mates are not," this appears to be a **theoretical vulnerability rather than documented evidence of actual exploitation** [1][3].
Los documentos CVE discuten la capacidad técnica para el "seguimiento a largo plazo" a través de la extracción de identificadores BLE [3], pero no hay evidencia en las divulgaciones de vulnerabilidad publicadas, literatura académica, o reportes de medios de instancias reales donde esta vulnerabilidad fuera explotada para seguimiento de violencia doméstica [2][3]. The CVE documents discuss the technical capability for "long term tracking" through BLE identifier extraction [3], but there is no evidence in the published vulnerability disclosures, academic literature, or media reporting of actual instances where this vulnerability was exploited for domestic violence tracking [2][3].
Esta es una **preocupación legítima de seguridad** que los investigadores identificaron y divulgaron responsablemente, pero caracterizarla como un método de explotación conocido sin instancias documentadas es una extrapolación más allá de lo que la evidencia muestra. This is a **legitimate security concern** that researchers identified and responsibly disclosed, but characterizing it as a known exploitation method without documented instances is an extrapolation beyond what the evidence shows.
### Precisión Técnica de "Transmisión" ### Technical Accuracy of "Broadcasting"
La afirmación usa la palabra "transmite" que es técnicamente imprecisa. The claim uses the word "broadcast" which is technically imprecise.
Los nombres de dispositivo no se transmiten continuamente en la operación normal de COVIDSafe. Device names are not continuously broadcast in COVIDSafe's normal operation.
Más bien, se exponen a través de vulnerabilidades técnicas BLE (mal uso de roles) que permiten a los atacantes extraer esta información de la pila Bluetooth del dispositivo [1][2]. Rather, they are exposed through BLE technical vulnerabilities (role misuse) that allow attackers to extract this information from the device's Bluetooth stack [1][2].
Esta es una distinción significativa porque afecta el modelado de amenazas—un atacante necesitaría realizar activamente un exploit técnico, no simplemente estar al alcance del Bluetooth [3]. This is a meaningful distinction because it affects threat modeling—an attacker would need to actively conduct a technical exploit, not merely be in Bluetooth range [3].
Evaluación de Credibilidad de Fuente
La fuente original es un **Google Doc** sin autor identificado, afiliación institucional, o credenciales de publicación listadas en el archivo de la afirmación [7].
The original source is a **Google Doc** with no identified author, institutional affiliation, or publication credentials listed in the claim file [7].
Sin acceso para ver el documento completo, evaluar su credibilidad es limitado. Without access to view the full document, assessing its credibility is limited.
Sin embargo, la afirmación sí referencia vulnerabilidades de seguridad legítimas (CVE-2020-12860 y CVE-2020-12856) que están bien documentadas en fuentes oficiales. However, the claim does reference legitimate security vulnerabilities (CVE-2020-12860 and CVE-2020-12856) that are well-documented in official sources.
Las divulgaciones CVE subyacentes y la investigación académica son de fuentes creíbles: - **CVE-2020-12860**: Publicado por MITRE/NVD (Base de Datos Nacional de Vulnerabilidades), seguimiento oficial de vulnerabilidades [1] - **CVE-2020-12856**: Descubierto y divulgado por Jim Mussared (George Robotics) y Alwen Tiu (ANU), publicado en GitHub con documentación técnica [3] - **Investigación Académica QUT**: Artículo revisado por pares sobre implementación de COVIDSafe de la Universidad de Tecnología de Queensland [5] Estas fuentes son divulgaciones técnicas creíbles, no fuentes partidistas. The underlying CVE disclosures and academic research are from credible sources:
- **CVE-2020-12860**: Published by MITRE/NVD (National Vulnerability Database), official vulnerability tracking [1]
- **CVE-2020-12856**: Discovered and disclosed by Jim Mussared (George Robotics) and Alwen Tiu (ANU), published on GitHub with technical documentation [3]
- **QUT Academic Research**: Peer-reviewed article on COVIDSafe implementation from Queensland University of Technology [5]
These sources are credible technical disclosures, not partisan sources.
⚖️
Comparación con Labor
**¿Tuvo Labor fracasos equivalentes de privacidad tecnológica?** Búsqueda realizada: "Labor government technology privacy failures contact tracing" La participación de Labor con tecnología de rastreo de contactos fue limitada durante este período, ya que el gobierno de la Coalición tenía el poder (2013-2022) y desarrolló COVIDSafe.
**Did Labor have equivalent technology privacy failures?**
Search conducted: "Labor government technology privacy failures contact tracing"
Labor's involvement with contact tracing technology was limited during this period, as the Coalition government held power (2013-2022) and developed COVIDSafe.
Labor estaba en la oposición y no desarrolló una aplicación alternativa de rastreo de contactos [8]. Labor was in opposition and did not develop an alternative contact tracing app [8].
Sin embargo, existieron preocupaciones más amplias de privacidad tecnológica en ambos partidos: - Ambos gobiernos de Labor y Coalición han enfrentado críticas por protecciones de privacidad inadecuadas en servicios digitales gubernamentales [8] - Los esfuerzos de reforma de privacidad en Australia han sido temas multipartidistas, con preocupaciones planteadas sobre prácticas gubernamentales de manejo de datos en general, no específicas de un partido [8] - Los problemas más amplios del marco de privacidad que necesitaron legislación especial de COVIDSafe son sistémicos al régimen fragmentado de leyes de privacidad de Australia, no únicos a la implementación de la Coalición [5] En esencia, no hay equivalente directo de Labor porque Labor no estaba en el gobierno durante la pandemia de COVID-19 y no desarrolló aplicaciones de rastreo de contactos. However, broader technology privacy concerns existed across both parties:
- Both Labor and Coalition governments have faced criticism for inadequate privacy protections in digital government services [8]
- Privacy reform efforts in Australia have been cross-party issues, with concerns raised about government data handling practices generally, not specific to one party [8]
- The broader privacy framework issues that necessitated special COVIDSafe legislation are systemic to Australia's fragmented privacy law regime, not unique to Coalition implementation [5]
In essence, there is no direct Labor equivalent because Labor was not in government during the COVID-19 pandemic and did not develop contact tracing apps.
🌐
Perspectiva Equilibrada
### La Vulnerabilidad Técnica Legítima
### The Legitimate Technical Vulnerability
La afirmación es **correcta de que existió una vulnerabilidad técnica genuina** en COVIDSafe que podría teóricamente exponer información de modelo y nombre del dispositivo, y que esta información podría usarse potencialmente para rastrear la ubicación/presencia de alguien [1][3]. The claim is **correct that a genuine technical vulnerability existed** in COVIDSafe that could theoretically expose device model and name information, and that this information could potentially be used to track someone's location/presence [1][3].
La vulnerabilidad era real, documentada por investigadores de seguridad creíbles, y divulgada responsablemente [3]. The vulnerability was real, documented by credible security researchers, and responsibly disclosed [3].
### La Respuesta del Gobierno ### The Government's Response
Positivamente, el Gobierno Australiano actuó sobre la divulgación lanzando un parche (v1.0.18) dentro de aproximadamente 3 semanas de ser notificados [3]. Positively, the Australian Government acted on the disclosure by releasing a patch (v1.0.18) within approximately 3 weeks of being notified [3].
La aplicación también incluyó protecciones de privacidad adicionales comparadas con aplicaciones comparables como TraceTogether de Singapur, incluyendo penalidades criminales para uso no autorizado de datos [5]. The app also included additional privacy protections compared to comparable apps like Singapore's TraceTogether, including criminal penalties for unauthorized data use [5].
### Afirmaciones Exageradas Sobre Explotación Práctica ### Overstated Claims About Practical Exploitation
El salto de "existe una vulnerabilidad técnica que teóricamente podría exponer información del dispositivo" a "los agresores de violencia doméstica pueden explotar esto" no está respaldado por evidencia. The leap from "a technical vulnerability exists that theoretically could expose device information" to "domestic violence abusers can exploit this" is not supported by evidence.
Si bien el riesgo teórico es válido para avisos de seguridad, afirmar explotación documentada sin evidencia es engañoso [1][3][7]. While the theoretical risk is valid for security advisories, claiming documented exploitation without evidence is misleading [1][3][7].
### Problema de Divulgación de Política de Privacidad ### Privacy Policy and Disclosure Issue
La afirmación sobre la divulgación de la política de privacidad es parcialmente válida. The claim about privacy policy disclosure is partially valid.
El gobierno puede no haber detallado explícitamente los riesgos de vulnerabilidad BLE a usuarios generales, aunque los profesionales de privacidad esperarían que tales riesgos fueran parte del modelado de amenazas de seguridad [5]. The government may not have explicitly detailed BLE vulnerability risks to general users, though privacy professionals would expect such risks to be part of security threat modeling [5].
La política de privacidad sí divulgó la recolección de datos Bluetooth, pero los detalles de potenciales ataques BLE pueden no haber sido orientados al consumidor [5][6]. The privacy policy did disclose Bluetooth data collection, but specifics of potential BLE attacks may not have been consumer-facing [5][6].
### Evaluación de Impacto Real ### Actual Impact Assessment
Dado que: - La vulnerabilidad fue corregida relativamente rápido (dentro de ~3 semanas) [3] - La aplicación permaneció voluntaria y tuvo baja adopción (nunca alcanzó los objetivos gubernamentales) [5] - La explotación requeriría sofisticación técnica más allá de la vigilancia casual [3] - No existen casos documentados de explotación para violencia doméstica [1][3] El **daño práctico real parece limitado** comparado con la severidad que la afirmación implica. Given that:
- The vulnerability was patched relatively quickly (within ~3 weeks) [3]
- The app remained voluntary and had low uptake (never reached government targets) [5]
- The exploitation would require technical sophistication beyond casual surveillance [3]
- No documented cases of exploitation for domestic violence exist [1][3]
The **actual practical harm appears limited** compared to the severity the claim implies.
PARCIALMENTE VERDADERO
5.5
/ 10
La afirmación es correcta en que: (1) existió una vulnerabilidad técnica genuina que permitía la extracción de modelo/nombre del dispositivo, y (2) esta información podría usarse teóricamente para rastrear presencia.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
Sin embargo, la afirmación es engañosa en: (1) caracterizar la vulnerabilidad teórica como explotación documentada para violencia doméstica, (2) usar "transmite" imprecisamente, y (3) omitir que la vulnerabilidad fue corregida rápidamente y divulgada responsablemente. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
La afirmación presenta la peor capacidad técnica posible como si fuera un escenario de amenaza real con explotación documentada. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
Puntuación Final
5.5
/ 10
PARCIALMENTE VERDADERO
La afirmación es correcta en que: (1) existió una vulnerabilidad técnica genuina que permitía la extracción de modelo/nombre del dispositivo, y (2) esta información podría usarse teóricamente para rastrear presencia.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
Sin embargo, la afirmación es engañosa en: (1) caracterizar la vulnerabilidad teórica como explotación documentada para violencia doméstica, (2) usar "transmite" imprecisamente, y (3) omitir que la vulnerabilidad fue corregida rápidamente y divulgada responsablemente. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
La afirmación presenta la peor capacidad técnica posible como si fuera un escenario de amenaza real con explotación documentada. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
📚 FUENTES Y CITAS (8)
-
1
cvedetails.com
Cvedetails
-
2
nvd.nist.gov
CVE-2020-12860
-
3
github.com
A bluetooth-related vulnerability in some contact tracing apps - alwentiu/COVIDSafe-CVE-2020-12856
GitHub -
4
threadreaderapp.com
Thread by @matthewrdev: The #covidsafe app is now available in Australia However, it's a shame that they have decided not to release the sourr full transparency. Luckily, I'm a curious chap and also a professional mobile developer. So, I've downloaded an…
Threadreaderapp -
5
lthj.qut.edu.au
Lthj Qut Edu
-
6
reddit.com
The heart of the internet -
7
docs.google.com
Privacy issues discovered in the BLE implementation of the COVIDSafe Android app Jim Mussared jim.mussared@gmail.com https://twitter.com/jim_mussared 28/04/2020 Last updated: 15/05/2020 Status: Public. Updates ongoing. Privacy issues discovered in the BLE implementation of the COVIDSafe Andr...
Google Docs -
8
ashurst.com
Australia's first tranche of privacy reforms – a deep dive and why they matter
Ashurst
Metodología de la Escala de Calificación
1-3: FALSO
Fácticamente incorrecto o fabricación maliciosa.
4-6: PARCIAL
Algo de verdad pero falta contexto o está sesgado.
7-9: MAYORMENTE VERDADERO
Tecnicismos menores o problemas de redacción.
10: PRECISO
Perfectamente verificado y contextualmente justo.
Metodología: Las calificaciones se determinan mediante la verificación cruzada de registros gubernamentales oficiales, organizaciones independientes de verificación de hechos y documentos de fuentes primarias.