Un error de Android permitió que algunas aplicaciones accedieran incorrectamente a los datos de seguimiento de COVID-19
Una falla de privacidad en la versión de Android de la aplicación de notificación de exposición COVID-19 de Apple y Google permitió potencialmente que otras aplicaciones preinstaladas vieran datos confidenciales, incluso si los usuarios tuvieron contacto con una persona con COVID-positivo. Google ahora está trabajando para implementar una solución.
La firma de análisis de privacidad AppCensus notó el error por primera vez en febrero y lo informó a Google. Sin embargo, según The Markup, Google no lo abordó en ese momento. El error va en contra de las múltiples promesas hechas por el CEO de Apple, Tim Cook, el CEO de Google, Sundar Pichai, y varios funcionarios de salud pública de que los datos recopilados de la aplicación de exposición no se compartirán más allá del dispositivo de un individuo.
«La solución es una cosa de una línea en la que elimina una línea que registra información confidencial en el registro del sistema. no afecta el programa, no cambia la forma en que funciona", dijo Joel Reardon, cofundador y líder forense de AppCensus en la misma entrevista con The Markup. "Es una solución tan obvia, y me quedé estupefacto de que no se vio así".
El artículo también compartió una cita del portavoz de Google, José Castañeda, quien declaró: «Nos notificaron sobre un problema en el que los identificadores de Bluetooth estaban temporalmente accesibles para aplicaciones específicas del nivel del sistema con fines de depuración, e inmediatamente comenzamos a implementar una solución para abordar esto».
Para que el sistema de notificación de exposición funcione, debe hacer ping a las señales de Bluetooth anonimizadas de los dispositivos con el sistema activado. Luego, en caso de que uno de los usuarios dé positivo por COVID-19, trabaja con las autoridades de salud para enviar una alerta a otros usuarios que entraron en contacto con esa persona con las señales correspondientes que quedan registradas en la memoria del teléfono.
El problema es que, en los teléfonos Android, los datos de seguimiento de contratos se registran en la memoria privilegiada del sistema. Si bien la mayoría de las aplicaciones y el software que se ejecutan en estos dispositivos no tienen acceso a esto, las aplicaciones preinstaladas por fabricantes como Google, LG o Verizon tienen privilegios especiales del sistema que les permiten acceder potencialmente a estos registros de datos, lo que los hace vulnerables.
Sin embargo, AppCensus no encontró indicios de que ninguna aplicación preinstalada haya recopilado datos, ni tampoco encontró que este fuera el caso con el sistema de notificación de exposición en iPhones. El director de tecnología de la compañía, Serge Egelmen, enfatizó en Twitter que el error es un problema de implementación y no es culpa del sistema de notificación de exposición y que debería dañar la confianza del público en las tecnologías de salud pública.
a través del borde