Ошибка Android позволяет некоторым приложениям неправомерно получать доступ к данным отслеживания COVID-19
Недостаток конфиденциальности в Android-версии приложения Apple и Google для уведомления о воздействии COVID-19 потенциально позволял другим предустановленным приложениям видеть конфиденциальные данные, в том числе, если пользователи контактировали с человеком, инфицированным COVID. Сейчас Google работает над исправлением.
Компания AppCensus, занимающаяся анализом конфиденциальности, впервые заметила ошибку в феврале и сообщила о ней Google. Однако, согласно The Markup, в то время Google не смог решить эту проблему. Ошибка противоречит многочисленным обещаниям, данным генеральным директором Apple Тимом Куком, генеральным директором Google Сундаром Пичаи и несколькими должностными лицами общественного здравоохранения, что данные, собранные из приложения воздействия, не будут передаваться за пределы устройства человека.
«Исправление — это однострочная вещь, когда вы удаляете строку, которая записывает конфиденциальную информацию в системный журнал. это не влияет на программу, это не меняет то, как она работает», — сказал Джоэл Рирдон, соучредитель и руководитель судебной экспертизы AppCensus, в том же интервью The Markup. «Это такое очевидное решение, и я был ошеломлен тем, что это не было замечено как таковое».
В статье также приводится цитата представителя Google Хосе Кастаньеды, который заявил: «Мы были уведомлены о проблеме, из-за которой идентификаторы Bluetooth были временно доступны для определенных приложений системного уровня в целях отладки, и мы немедленно начали развертывание исправления для решения этой проблемы».
Чтобы система уведомления о воздействии работала, ей необходимо пинговать анонимные Bluetooth-сигналы устройств с активированной системой. Затем, в случае положительного результата теста одного из пользователей на COVID-19, он работает с органами здравоохранения, чтобы отправить предупреждение другим пользователям, которые вступили в контакт с этим человеком, с соответствующими сигналами, которые регистрируются в памяти телефона.
Проблема в том, что на телефонах Android данные отслеживания контрактов записываются в привилегированную системную память. Хотя большинство приложений и программного обеспечения, работающего на этих устройствах, не имеют доступа к этому, приложения, которые предварительно устанавливаются такими производителями, как Google, LG или Verizon, имеют специальные системные привилегии, которые потенциально позволяют им получать доступ к этим журналам данных, что делает их уязвимыми.
Однако AppCensus не обнаружил никаких признаков того, что какие-либо предустановленные приложения собирали данные, и не обнаружил, что это относится к системе уведомлений о воздействии на iPhone. Главный технический директор компании Серж Эгельмен подчеркнул в Твиттере, что ошибка связана с реализацией, а не с ошибкой системы уведомления о воздействии, и что она должна подорвать доверие общественности к технологиям общественного здравоохранения.
через Грань