UMA falha de privacidade na versão Android do aplicativo de notificação de exposição COVID-19 da Apple e do Google, potencialmente permitia que outros aplicativos pré-instalados vissem dados confidenciais, incluindo se os usuários tivessem contato com uma pessoa COVID positiva. O Google agora está trabalhando para lançar uma correção.
Empresa de análise de privacidade AppCensus O bug foi notado pela primeira vez em fevereiro e relatado ao Google. No entanto, de acordo com A marcação, O Google não conseguiu resolver o problema na época. O bug vai contra várias promessas feitas pelo CEO da Apple, Tim Cook, CEO do Google, Sundar Pichai, e vários funcionários de saúde pública, de que os dados coletados do aplicativo de exposição não seriam compartilhados além do dispositivo de um indivíduo.
“A correção é uma coisa de uma linha onde você remove uma linha que registra informações confidenciais no log do sistema. não afeta o programa, não muda a forma como funciona ”, disse Joel Reardon, cofundador e líder forense da AppCensus na mesma entrevista a A marcação. “É uma solução tão óbvia, e fiquei espantado por não ser visto dessa forma.”
O artigo também compartilhou uma citação do porta-voz do Google José Castañeda, que afirmou “Fomos notificados de um problema em que os identificadores Bluetooth estavam temporariamente acessíveis a aplicativos específicos de nível de sistema para fins de depuração e imediatamente começamos a implementar uma correção para resolver isso”.
Para que o sistema de notificação de exposição funcione, ele precisa fazer ping de sinais Bluetooth anônimos de dispositivos com o sistema ativado. Em seguida, caso um dos usuários teste positivo para COVID-19, ele trabalha com as autoridades de saúde para enviar um alerta a outros usuários que entraram em contato com essa pessoa com os sinais correspondentes que estão registrados na memória do telefone.
O problema é que, em telefones Android, os dados de rastreamento de contratos são registrados na memória privilegiada do sistema. Embora a maioria dos aplicativos e softwares executados nesses dispositivos não tenham acesso a isso, os aplicativos pré-instalados por fabricantes como Google ou LG ou Verizon têm privilégios de sistema especiais que permitem que eles acessem potencialmente esses registros de dados, tornando-os vulneráveis.
O AppCensus não encontrou nenhuma indicação de que quaisquer aplicativos pré-instalados tenham coletado dados, no entanto, nem considerou que este seja o caso com o sistema de notificação de exposição em iPhones. O diretor de tecnologia da empresa, Serge Egelmen, enfatizou no Twitter que o bug é um problema de implementação e não uma falha do sistema de notificação de exposição e que deve prejudicar a confiança do público nas tecnologias de saúde pública.
através da The Verge