Когда более года назад мир был парализован во время пандемии COVID-19, мир технологий бросился на помощь. Google и Apple разработали приложения для отслеживания контактов, призванные предупреждать вас о возможном контакте с COVID-19, обещая конфиденциальность. Кажется, что Apple сдержала свое обещание, но исследователи обнаружили уязвимость в конфиденциальности приложения Android для отслеживания контактов.
Обнаружена уязвимость конфиденциальности приложения для отслеживания контактов
Идея обоих приложений для отслеживания контактов заключается в том, что они будут использовать данные о вашем местоположении, чтобы предупредить вас, если вы контактировали с кем-то с известным случаем COVID.
Приложения для отслеживания контактов Android и Apple скачали миллионы пользователей по всему миру. В отдельных странах и штатах есть свои версии приложения.
Исследователи AppCensus тестировали приложения по контракту с Министерством внутренней безопасности США. Несмотря на то, что AppCensus обнаружила уязвимость конфиденциальности в приложении для отслеживания контактов Android, Google проигнорировала ее, когда ей сообщили о проблеме в феврале этого года.
«Это исправление состоит из одной строки: вы удаляете строку, записывающую конфиденциальную информацию в системный журнал. Это не влияет на программу; это не меняет того, как это работает», — сказал соучредитель и руководитель отдела криминалистики AppCensus Джоэл Рирдон. «Это настолько очевидное решение, что я был ошеломлен тем, что этого не заметили».
Однако компания Google защитила свои действия. «Нас уведомили о проблеме, из-за которой идентификаторы Bluetooth были временно доступны определенным приложениям системного уровня для целей отладки, и мы немедленно начали внедрять исправление для решения этой проблемы», — заявил представитель Google Хосе Кастаньеда в заявлении, отправленном по электронной почте.
Показатель App Census увеличился вдвое, поскольку соучредитель и технический директор Серж Эгельман заявил, что Google неоднократно игнорировал проблемы, доведенные до его сведения. Однако Кастаньеда также заявил, что «развертывание этого обновления на устройствах Android началось несколько недель назад и завершится в ближайшие дни».
Почему это считается нарушением конфиденциальности
Рирдон объяснил, что проблема с приложением для отслеживания контактов Android считается недостатком конфиденциальности, поскольку предустановленные приложения имеют доступ к конфиденциальной информации, собираемой приложением для отслеживания контрактов и хранящейся в системных журналах.
Приложение для отслеживания контрактов обменивается анонимными сигналами Bluetooth с другими устройствами, использующими это приложение. Для повышения конфиденциальности сигналы меняются каждые 15 минут, а ключ, создающий сигналы, меняется каждые 24 часа.
Сигналы сохраняются в системных журналах, к которым также имеют доступ предустановленные приложения. Эти журналы могут содержать имя устройства, MAC-адрес и рекламный идентификатор, полученные из других приложений.
«Google утверждает, что эти журналы никогда не покидают устройство», — сказал Рирдон. «Они не могут заявить об этом — они не знают, собирает ли какое-либо из этих приложений системные журналы».
Рирдон обратился в Google после того, как в приложении для отслеживания контактов Android была обнаружена уязвимость конфиденциальности, и сообщил об этом в программу Google по борьбе с ошибками. Он получил ответное электронное письмо, в котором говорилось, что нарушения конфиденциальности недостаточно для того, чтобы AppCensus получила оплату.
Однако это выглядит несколько отвратительно. Пользователи, беспокоящиеся о своей физической безопасности, рискуют потерять безопасность данных. Будем надеяться, что Google действительно работает над этим – пользователям не придется делать такой выбор.
Прочитайте дальше, чтобы узнать, как был разработан виртуальный вирус Safe Blues для отслеживания COVID.
