ГлавнаяНовостиGoogle игнорирует ошибку конфиденциальности в приложении для отслеживания контактов Android

Google игнорирует ошибку конфиденциальности в приложении для отслеживания контактов Android

Когда более года назад мир был парализован во время пандемии COVID-19, мир технологий бросился на помощь. Google и Apple разработали приложения для отслеживания контактов, призванные предупреждать вас о возможном контакте с COVID-19, обещая конфиденциальность. Кажется, что Apple сдержала свое обещание, но исследователи обнаружили уязвимость в конфиденциальности приложения Android для отслеживания контактов.

Обнаружена уязвимость конфиденциальности приложения для отслеживания контактов

Идея обоих приложений для отслеживания контактов заключается в том, что они будут использовать данные о вашем местоположении, чтобы предупредить вас, если вы контактировали с кем-то с известным случаем COVID.

Приложени>Обнаружена уязвимость конфиденциальности приложения для отслеживания контактов миру. В отдельных странах и штатах есть свои версии приложения.

Приложение для отслеживания контактов Android

Исследователи AppCensus тестировали приложения по контракту с Министерством внутренней безопасности США. Несмотря на то, что AppCensus обнаружила уязвимость конфиденциальности в приложении для отслеживания контактов Android, Google проигнорировала ее, когда ей сообщили о проблеме в феврале этого года.

«Это исправление состоит из одной строки: вы удаляете строку, записывающую конфиденциальную информацию в системный журнал. Это не влияет на программу; это не меняет того, как это работает», — сказал соучредитель и руководитель отдела криминалистики AppCensus Джоэл Рирдон. «Это настолько очевидное решение, что я был ошеломлен тем, что этого не заметили».

Однако компания Google защитила свои действия. «Нас уведомили о проблеме, из-за которой идентификаторы Bluetooth были временно доступны определенным приложениям системного уровня для целей отладки, и мы немедленно начали внедрять исправление для решения этой проблемы», — заявил представитель Google Хосе Кастаньеда в заявлении, отправленном по электронной почте.

Вирус отслеживания контактов Android

Показатель App Census увеличился вдвое, поскольку соучредитель и технический директор Серж Эгельман заявил, что Google неоднократно игнорировал проблемы, доведенные до его сведения. Однако Кастаньеда также заявил, что «развертывание этого обновления на устройствах Android началось несколько недель назад и завершится в ближайшие дни».

Почему это считается нарушением конфиденциальности

Рирдон объяснил, что проблема с приложением для отслеживания контактов Android считается недостатком конфиденциальности, поскольку предустановленные приложения имеют доступ к конфиденциальной информации, собираемой приложением для отслеживания контрактов и хранящейся в системных журналах.

Приложение для отслеживания контрактов обменивается анонимными сигналами Bluetooth с другими устройствами, использующими это приложение. Для повышения конфиденциальности сигналы меняются каждые 15 минут, а ключ, создающий сигналы, меняется каждые 24 часа.

Сигналы сохраняются в системных журналах, к которым также имеют доступ предустановленные приложения. Эти журналы могут содержать имя устройства, MAC-адрес и рекламный идентификатор, полученные из других приложений.

Обнаружение отслеживания контактов Android

«Google утверждает, что эти журналы никогда не покидают устройство», — сказал Рирдон. «Они не могут заявить об этом — они не знают, собирает ли какое-либо из этих приложений системные журналы».

Рирдон обратился в Google после того, как в приложении для отслеживания контактов Android была обнаружена уязвимость конфиденциальности, и сообщил об этом в программу Google по борьбе с ошибками. Он получил ответное электронное письмо, в котором говорилось, что нарушения конфиденциальности недостаточно для того, чтобы AppCensus получила оплату.

Однако это выглядит несколько отвратительно. Пользователи, беспокоящиеся о своей физической безопасности, рискуют потерять безопасность данных. Будем надеяться, что Google действительно работает над этим – пользователям не придется делать такой выбор.<>Почему это считается нарушением конфиденциальностиан виртуальный вирус Safe Blues для отслеживания COVID.

ПОХОЖИЕ СТАТЬИ

Популярные записи