Androidi viga lubab mõnel rakendusel COVID-19 jälgimisandmetele valesti juurde pääseda
Privaatsusviga Apple’i Androidi versioonis ja Google’i COVID-19 kokkupuute teavitusrakenduses võimaldas teistel eelinstallitud rakendustel näha tundlikke andmeid, sealhulgas seda, kui kasutajad olid kontaktis COVID-positiivse inimesega. Google töötab praegu paranduse väljatöötamisega.
Privaatsusanalüüsi ettevõte AppCensus märkas viga esmakordselt veebruaris ja teatas sellest Google’ile. Kuid The Markupi sõnul ei suutnud Google seda tol ajal lahendada. Viga on vastuolus Apple’i tegevjuhi Tim Cooki, Google’i tegevjuhi Sundar Pichai ja mitme rahvatervise ametniku antud lubadustega, et kokkupuuterakendusest kogutud andmeid ei jagata väljaspool üksikisiku seadet.
"Parandus on üherealine asi, kus eemaldate rea, mis logib tundlikku teavet süsteemilogi. see ei mõjuta programmi, see ei muuda selle toimimist," ütles AppCensuse kaasasutaja ja kohtuekspertiisi juht Joel Reardon samas intervjuus ajakirjale The Markup. "See on nii ilmne lahendus ja ma olin üllatunud, et seda ei nähtud nii."
Artiklis jagati ka tsitaati Google’i pressiesindajalt José Castañedalt, kes ütles: "Meid teavitati probleemist, mille puhul Bluetoothi identifikaatorid olid ajutiselt teatud süsteemitaseme rakendustele silumiseks juurdepääsetavad, ja alustasime selle lahendamiseks kohe paranduse väljatöötamist."
Daria Nipot / Shutterstock.com
Kokkupuute teavitussüsteemi toimimiseks peab see pingima aktiveeritud süsteemiga seadmete anonüümseks muudetud Bluetoothi signaale. Seejärel, kui ühe kasutaja test annab COVID-19 suhtes positiivse tulemuse, töötab see koos tervishoiuasutustega, et saata teistele selle inimesega kokku puutunud kasutajatele vastavate signaalidega, mis on telefoni mällu logitud.
Probleem on selles, et Android-telefonides logitakse lepingute jälgimise andmed privilegeeritud süsteemimällu. Kuigi enamikul nendes seadmetes töötavatel rakendustel ja tarkvaral pole sellele juurdepääsu, on rakendustel, mille on eelinstallinud sellised tootjad nagu Google, LG või Verizon, erilised süsteemiõigused, mis võimaldavad neil andmelogidele potentsiaalselt juurde pääseda, muutes need haavatavaks.
AppCensus pole aga leidnud viiteid selle kohta, et eelinstallitud rakendus oleks andmeid kogunud, samuti ei leidnud ta seda iPhone’i kokkupuute teavitussüsteemi puhul. Ettevõtte tehnoloogiadirektor Serge Egelmen rõhutas Twitteris, et viga on juurutusprobleem, mitte kokkupuute teavitussüsteemi süü ning see peaks kahjustama avalikkuse usaldust rahvatervise tehnoloogiate vastu.
The Verge kaudu