Un bogue Android permet à certaines applications d’accéder de manière incorrecte aux données de traçage COVID-19
Une faille de confidentialité dans la version Android d’Apple et de l’application de notification d’exposition au COVID-19 de Google a potentiellement permis à d’autres applications préinstallées de voir des données sensibles, y compris si les utilisateurs avaient été en contact avec une personne positive au COVID. Google travaille actuellement sur le déploiement d’un correctif.
La société d’analyse de confidentialité AppCensus a remarqué le bogue pour la première fois en février et l’a signalé à Google. Cependant, selon The Markup, Google n’a pas réussi à le résoudre à l’époque. Le bogue va à l’encontre de plusieurs promesses faites par le PDG d’Apple Tim Cook, le PDG de Google Sundar Pichai et plusieurs responsables de la santé publique selon lesquelles les données collectées à partir de l’application d’exposition ne seraient pas partagées au-delà de l’appareil d’un individu.
"Le correctif est une chose d’une ligne où vous supprimez une ligne qui enregistre des informations sensibles dans le journal système. cela n’a pas d’impact sur le programme, cela ne change pas son fonctionnement », a déclaré Joel Reardon, co-fondateur et responsable de la criminalistique d’AppCensus dans la même interview avec The Markup. «C’est une solution tellement évidente, et j’ai été sidéré que ce n’était pas vu comme ça.
L’article a également partagé une citation du porte-parole de Google, José Castañeda, qui a déclaré: «Nous avons été informés d’un problème où les identifiants Bluetooth étaient temporairement accessibles à des applications spécifiques au niveau du système à des fins de débogage, et nous avons immédiatement commencé à déployer un correctif pour résoudre ce problème.
Pour que le système de notification d’exposition fonctionne, il doit cingler les signaux Bluetooth anonymisés des appareils avec le système activé. Ensuite, dans le cas où l’un des utilisateurs teste positif pour COVID-19, il travaille avec les autorités sanitaires pour envoyer une alerte aux autres utilisateurs qui sont entrés en contact avec cette personne avec des signaux correspondants qui sont enregistrés dans la mémoire du téléphone.
Le problème est que, sur les téléphones Android, les données de suivi des contrats sont enregistrées dans la mémoire système privilégiée. Bien que la plupart des applications et des logiciels exécutés sur ces appareils n’y aient pas accès, les applications préinstallées par des fabricants tels que Google, LG ou Verizon disposent de privilèges système spéciaux qui leur permettent d’accéder potentiellement à ces journaux de données, ce qui les rend vulnérables.
Cependant, AppCensus n’a trouvé aucune indication que des applications préinstallées aient collecté des données, et cela n’a pas non plus été le cas avec le système de notification d’exposition sur les iPhones. Le directeur de la technologie de l’entreprise, Serge Egelmen, a souligné sur Twitter que le bogue est un problème de mise en œuvre et non la faute du système de notification d’exposition et qu’il devrait nuire à la confiance du public dans les technologies de santé publique.
via le bord