Порушення конфіденційності у версії Apple для Android і програми Google для сповіщень про ризик зараження COVID-19 потенційно дозволяло іншим попередньо встановленим програмам бачити конфіденційні дані, зокрема, якщо користувачі контактували з людиною з COVID-19. Зараз Google працює над впровадженням виправлення.
Компанія AppCensus з аналізу конфіденційності вперше помітила помилку в лютому і повідомила про неї в Google. Однак, за даними The Markup, Google не зміг вирішити цю проблему. Помилка суперечить численним обіцянкам генерального директора Apple Тіма Кука, генерального директора Google Сундара Пічаї та кількох посадових осіб охорони здоров’я про те, що дані, зібрані з програми зараження, не будуть передаватися за межі пристрою окремої особи.
«Виправлення — це один рядок, коли ви видаляєте рядок, який реєструє конфіденційну інформацію в системному журналі. це не впливає на програму, це не змінює принцип її роботи", – сказав Джоел Рірдон, співзасновник і керівник судової експертизи AppCensus в тому ж інтерв’ю The Markup. "Це таке очевидне рішення, і я був здивований, що це не вважалося таким».
У статті також поділилася цитата представника Google Хосе Кастаньеди, який заявив: «Нас повідомили про проблему, коли ідентифікатори Bluetooth були тимчасово доступні для певних програм системного рівня з метою налагодження, і ми негайно почали розгортати виправлення для вирішення цієї проблеми».
Для того щоб система сповіщення про ризик зараження працювала, їй потрібно пінгувати анонімні сигнали Bluetooth пристроїв із активованою системою. Потім, якщо один із користувачів дасть позитивний результат на COVID-19, він співпрацює з органами охорони здоров’я, щоб надіслати сповіщення іншим користувачам, які контактували з цією людиною, з відповідними сигналами, які реєструються в пам’яті телефону.
Проблема в тому, що на телефонах Android дані відстеження контрактів реєструються в привілейованій системній пам’яті. Хоча більшість програм і програмного забезпечення, запущеного на цих пристроях, не мають доступу до цього, програми, попередньо встановлені такими виробниками, як Google, LG або Verizon, мають спеціальні системні привілеї, які дозволяють їм потенційно отримати доступ до цих журналів даних, що робить їх уразливими.
Однак AppCensus не виявив жодних ознак того, що будь-які попередньо встановлені програми збирали дані, а також не виявив, що це стосується системи сповіщення про ризик зараження на iPhone. Головний технологічний директор компанії Серж Егельмен наголосив у Twitter, що помилка є проблемою впровадження, а не системою сповіщення про ризик зараження, і що вона має зашкодити довірі населення до технологій громадського здоров’я.
через The Verge