Un bug di Android consente ad alcune app di accedere in modo improprio ai dati di tracciamento COVID-19
Un difetto di privacy nella versione Android di Apple e l’app di notifica dell’esposizione al COVID-19 di Google ha potenzialmente consentito ad altre app preinstallate di vedere dati sensibili, anche se gli utenti hanno avuto contatti con una persona positiva al COVID. Google sta ora lavorando per implementare una soluzione.
La società di analisi della privacy AppCensus ha notato il bug per la prima volta a febbraio e l’ha segnalato a Google. Tuttavia, secondo The Markup, Google non è riuscito a risolverlo in quel momento. Il bug va contro le molteplici promesse fatte dal CEO di Apple Tim Cook, dal CEO di Google Sundar Pichai e da diversi funzionari della sanità pubblica che i dati raccolti dall’app di esposizione non sarebbero stati condivisi oltre il dispositivo di un individuo.
“La soluzione è una cosa su una riga in cui si rimuove una riga che registra informazioni riservate nel registro di sistema. non ha alcun impatto sul programma, non cambia il modo in cui funziona", ha affermato Joel Reardon, co-fondatore e responsabile forense di AppCensus nella stessa intervista con The Markup. "È una soluzione così ovvia e sono rimasto sbalordito dal fatto che non è stato visto così.
L’articolo condivideva anche una citazione del portavoce di Google José Castañeda, che affermava: "Siamo stati informati di un problema per cui gli identificatori Bluetooth erano temporaneamente accessibili a specifiche applicazioni a livello di sistema per scopi di debug e abbiamo immediatamente iniziato a implementare una soluzione per risolverlo".
Affinché il sistema di notifica dell’esposizione funzioni, è necessario eseguire il ping dei segnali Bluetooth anonimi dei dispositivi con il sistema attivato. Quindi, nel caso in cui uno degli utenti risulti positivo al COVID-19, collabora con le autorità sanitarie per inviare un avviso ad altri utenti che sono entrati in contatto con quella persona con segnali corrispondenti registrati nella memoria del telefono.
Il problema è che, sui telefoni Android, i dati di tracciamento dei contratti vengono registrati nella memoria di sistema privilegiata. Sebbene la maggior parte delle app e del software in esecuzione su questi dispositivi non abbia accesso a questo, le app preinstallate da produttori come Google, LG o Verizon dispongono di privilegi di sistema speciali che consentono loro di accedere potenzialmente a questi registri di dati, rendendoli vulnerabili.
Tuttavia, AppCensus non ha trovato indicazioni che eventuali app preinstallate abbiano raccolto dati, né ha riscontrato che questo fosse il caso del sistema di notifica dell’esposizione su iPhone. Il Chief Technology Officer dell’azienda, Serge Egelmen, ha sottolineato su Twitter che il bug è un problema di implementazione e non una colpa del sistema di notifica dell’esposizione e che dovrebbe danneggiare la fiducia del pubblico nelle tecnologie della salute pubblica.
tramite The Verge