Android-virhe antaa joidenkin sovellusten käyttää COVID-19-seurantatietoja väärin
Applen Android-version ja Googlen COVID -19-altistumisilmoitussovelluksen tietosuojavirhe mahdollisti muiden esiasennettujen sovellusten näkevän arkaluontoisia tietoja, mukaan lukien jos käyttäjät olivat olleet yhteydessä COVID-positiiviseen henkilöön. Google työskentelee parhaillaan korjauksen ottamiseksi käyttöön.
Tietosuoja-analyysiyritys AppCensus huomasi virheen ensimmäisen kerran helmikuussa ja ilmoitti siitä Googlelle. The Markupin mukaan Google ei kuitenkaan tuolloin käsitellyt sitä. Virhe on vastoin Applen toimitusjohtajan Tim Cookin, Googlen toimitusjohtaja Sundar Pichain ja useiden kansanterveysviranomaisten antamia lupauksia, että altistussovelluksesta kerättyjä tietoja ei jaeta yksittäisen laitteen ulkopuolelle.
"Korjaus on yksirivinen asia, jossa poistetaan rivi, joka kirjaa arkaluonteiset tiedot järjestelmälokiin. se ei vaikuta ohjelmaan, se ei muuta sen toimintaa", sanoi Joel Reardon, AppCensuksen toinen perustaja ja oikeuslääketieteen johtaja samassa The Markup -haastattelussa. "Se on niin ilmeinen korjaus, ja olin hämmästynyt siitä, että sitä ei nähty sellaisena."
Artikkelissa jaettiin myös lainaus Googlen tiedottajalta José Castañedalta, joka totesi: "Meille ilmoitettiin ongelmasta, jossa Bluetooth-tunnisteet olivat tilapäisesti käytettävissä tietyissä järjestelmätason sovelluksissa virheenkorjausta varten, ja aloimme heti ottaa käyttöön korjausta ongelman ratkaisemiseksi."
Daria Nipot / Shutterstock.com
Jotta altistumisilmoitusjärjestelmä toimisi, sen täytyy pingata anonymisoituja Bluetooth-signaaleja laitteista, joissa järjestelmä on aktivoitu. Sitten, jos jollakin käyttäjistä on positiivinen COVID-19-testi, se työskentelee terveysviranomaisten kanssa lähettääkseen hälytyksen muille käyttäjille, jotka ovat olleet yhteydessä kyseiseen henkilöön, vastaavilla signaaleilla, jotka on kirjattu puhelimen muistiin.
Ongelmana on, että Android-puhelimissa sopimusten jäljitystiedot kirjataan etuoikeutettuun järjestelmämuistiin. Vaikka useimmilla näissä laitteissa käytävissä sovelluksissa ja ohjelmistoissa ei ole pääsyä tähän, valmistajien, kuten Googlen, LG:n tai Verizonin, esiasentamilla sovelluksilla on erityisiä järjestelmäoikeuksia, joiden avulla ne voivat mahdollisesti käyttää näitä tietolokeja, mikä tekee niistä haavoittuvia.
AppCensus ei kuitenkaan ole löytänyt viitteitä siitä, että esiasennetut sovellukset olisivat keränneet tietoja, eikä myöskään iPhonen altistumisilmoitusjärjestelmän kohdalla. Yhtiön teknologiajohtaja Serge Egelmen korosti Twitterissä, että vika on toteutusongelma eikä altistumisilmoitusjärjestelmän vika ja että sen pitäisi vahingoittaa yleisön luottamusta kansanterveysteknologioihin.
The Vergen kautta