martedì 30 novembre 2021

Un bug di Android consente ad alcune app di accedere in modo improprio ai dati di tracciamento COVID-19

A falla sulla privacy nella versione Android di Apple e COVID di Google – 19 l’app di notifica dell’esposizione potenzialmente consentiva ad altre app preinstallate di vedere dati sensibili, anche se gli utenti avevano contatti con una persona positiva per COVID. Google sta ora lavorando per implementare una correzione.

La società di analisi della privacy AppCensus ha notato per la prima volta il bug a febbraio e l’ha segnalato a Google. Tuttavia, secondo The Markup , Google non è riuscita a risolverlo in quel momento. Il bug va contro le molteplici promesse fatte dal CEO di Apple Tim Cook, dal CEO di Google Sundar Pichai e da diversi funzionari della sanità pubblica secondo cui i dati raccolti dall’app di esposizione non sarebbero stati condivisi oltre il dispositivo di un individuo.

“La correzione è una riga in cui si rimuove una riga che registra informazioni sensibili al registro di sistema. non influisce sul programma, non cambia il modo in cui funziona “, ha detto Joel Reardon, co-fondatore e responsabile forense di AppCensus nella stessa intervista con The Markup . “È una soluzione così ovvia e sono rimasto sbalordito che non sia stato visto come quello.”

L’articolo condivideva anche una citazione del portavoce di Google José Castañeda, che ha dichiarato “Siamo stati informati di un problema in cui gli identificatori Bluetooth erano temporaneamente accessibili a specifiche applicazioni a livello di sistema per scopi di debug, e abbiamo immediatamente iniziato a implementare una correzione per risolvere questo problema. ”

Affinché il sistema di notifica dell’esposizione funzioni, deve eseguire il ping dei segnali Bluetooth anonimi di dispositivi con il sistema attivato. Quindi, nel caso in cui uno degli utenti risulti positivo per COVID – 19, collabora con le autorità sanitarie per inviare un avviso ad altri utenti che sono entrati in contatto con quella persona con segnali corrispondenti che vengono registrati nella memoria del telefono.

Il problema è che, sui telefoni Android, i dati di tracciamento del contratto vengono registrati nella memoria di sistema privilegiata. Sebbene la maggior parte delle app e del software in esecuzione su questi dispositivi non abbiano accesso a questo, le app preinstallate da produttori come Google o LG o Verizon dispongono di privilegi di sistema speciali che consentono loro di accedere potenzialmente a questi registri di dati, rendendoli vulnerabili.

AppCensus non ha trovato alcuna indicazione che qualsiasi preinstallato le app hanno raccolto dati, tuttavia, né ha riscontrato che questo fosse il caso del sistema di notifica dell’esposizione su iPhone. Il Chief Technology Officer dell’azienda, Serge Egelmen, ha sottolineato su Twitter che il bug è un problema di implementazione e non colpa del sistema di notifica dell’esposizione e che dovrebbe danneggiare la fiducia del pubblico nelle tecnologie di sanità pubblica.

tramite The Verge