Błąd Androida, który pozwala niektórym aplikacjom na niepoprawny dostęp do danych śledzenia COVID-19
Luka prywatności w wersji Androida firmy Apple i aplikacji Google do powiadamiania o narażeniu na COVID-19 potencjalnie umożliwiła innym wstępnie zainstalowanym aplikacjom dostęp do poufnych danych, w tym jeśli użytkownicy mieli kontakt z osobą zarażoną COVID. Google pracuje teraz nad wprowadzeniem poprawki.
Firma AppCensus zajmująca się analizą prywatności po raz pierwszy zauważyła błąd w lutym i zgłosiła go do Google. Jednak według The Markup Google nie zajęło się tym w tamtym czasie. Błąd jest sprzeczny z wieloma obietnicami złożonymi przez dyrektora generalnego Apple Tima Cooka, dyrektora generalnego Google Sundara Pichaia i kilku urzędników zdrowia publicznego, że dane zebrane z aplikacji do ekspozycji nie będą udostępniane poza urządzeniem danej osoby.
„Poprawka to jednowierszowa rzecz, w której usuwasz wiersz, który rejestruje poufne informacje w dzienniku systemowym. nie ma to wpływu na program, nie zmienia sposobu jego działania" – powiedział Joel Reardon, współzałożyciel i kierownik ds. medycyny sądowej w AppCensus w tym samym wywiadzie dla The Markup. „To taka oczywista poprawka i byłem tym zaskoczony. nie było tak postrzegane”.
Artykuł zawierał również cytat z rzecznika Google, José Castañedy, który stwierdził: „Zostaliśmy powiadomieni o problemie, w którym identyfikatory Bluetooth były tymczasowo dostępne dla określonych aplikacji na poziomie systemu w celu debugowania, i natychmiast zaczęliśmy wprowadzać poprawkę, aby rozwiązać ten problem”.
Aby system powiadamiania o ekspozycji działał, musi pingować anonimowe sygnały Bluetooth urządzeń z włączonym systemem. Następnie, jeśli jeden z użytkowników uzyska pozytywny wynik testu na obecność COVID-19, współpracuje z organami ds. zdrowia, aby wysłać alert do innych użytkowników, którzy weszli w kontakt z tą osobą, z odpowiednimi sygnałami zarejestrowanymi w pamięci telefonu.
Problem polega na tym, że w telefonach z systemem Android dane dotyczące śledzenia umów są rejestrowane w uprzywilejowanej pamięci systemowej. Podczas gdy większość aplikacji i oprogramowania działającego na tych urządzeniach nie ma do tego dostępu, aplikacje, które są preinstalowane przez producentów takich jak Google, LG lub Verizon, mają specjalne uprawnienia systemowe, które umożliwiają im potencjalny dostęp do tych dzienników danych, co czyni je podatnymi na ataki.
AppCensus nie znalazł jednak żadnych wskazówek, by jakiekolwiek preinstalowane aplikacje gromadziły dane, ani nie stwierdził, że tak jest w przypadku systemu powiadamiania o ekspozycji na iPhone’y. Dyrektor ds. technologii firmy, Serge Egelmen, podkreślił na Twitterze, że błąd jest kwestią implementacji, a nie winą systemu powiadamiania o narażeniu, i że powinien podważyć zaufanie społeczeństwa do technologii zdrowia publicznego.
przez The Verge