DAJ CYNK

Android pozwala aplikacjom czytać dane o kontakcie z COVID-19

Anna Rymsza (Xyrcon)

Bezpieczeństwo

Android naraża dane o kontakcie z COVID-19

Android miał lukę, która ujawnia wrażliwe informacje preinstalowanym aplikacjom. Mogą one odczytać informacje zbierane przez system śledzenia kontaktów międzyludzkich i ostrzegania o kontakcie z COVID-19. System został opracowany przez Google i Apple na potrzeby walki z pandemią.

Luka w systemie Android pozwala aplikacjom uzyskać dostęp do informacji bardzo ważnych: czy właściciel telefonu miał kontakt z osobą, u której wykryto COVID-19. Gdy ten system śledzenia kontaktów międzyludzkich powstawał, obrońcy prywatności mieli bardzo dużo obaw. Google, Apple i organizacje ochrony zdrowia musiały zagwarantować, że danych o kontaktach nie będzie można wynieść „na zewnątrz” i że nie będą zawierały żadnych danych osób, a jedynie anonimowe identyfikatory. Nie udało się, zresztą nie mogło się udać. Nie ma systemu operacyjnego, który perfekcyjnie zabezpiecza wszystko.

Dane z ProteGO Safe też są zagrożone

System ostrzegający o narażeniu na kontakt z COVID-19 regularnie „woła” urządzenia dookoła, korzystając z łączności Bluetooth. Smartfony wymieniają się anonimowymi identyfikatorami, które są przechowywane przez określony czas w ich pamięci. Dzięki temu można ostrzegać wszystkie osoby, które przebywały w pobliżu osoby zakażonej, jeśli uzyska ona pozytywny wynik testu. Organizacje rządowe mogą uruchomić „alarm” dla identyfikatora telefonu tej osoby. Warto tu dodać, że z API wadliwego rozwiązania korzysta polska aplikacja ProteGO Safe.

Zobacz: Apple i Google chcą śledzić kontakty międzyludzkie… znaczy koronawirusa

Identyfikatory są przechowywane chronionej pamięci, do której nie ma dostępu większość aplikacji. Większość, ale nie wszystkie. Okazało się bowiem, że aplikacje preinstalowane przez producentów mają wyższe uprawnienia i mogą do tej sekcji pamięci zaglądać. To stwarza ryzyko, że dane wpadną w niepowołane ręce. Nie ma dowodów, że któraś z aplikacji próbowała się do tych logów dobrać, ale lepiej dmuchać na zimne. Znane są przypadki, że aplikacje instalowane przez producentów w ten właśnie sposób wyprowadzały z telefonów kontakty albo dane o lokalizacji.

Błąd znalazła firma analityczna AppCensus i zgłosiła go Google'owi w połowie lutego. Naprawienie go jest banalnie proste – tak przynajmniej twierdzi Joel Reardon z AppCensus. Podobno wystarczy usunąć kilka linijek kodu i załatwione. Google jednak jeszcze tego nie zrobił, a rzecznik poinformował, że „prace trwają”. Może jednak nie jest tak łatwo? Google musi myśleć też o swoich klientach, którzy korzystają z systemu Android i tworzą własne aplikacje.

Pracownicy AppCensus ostrzegają przed przenoszeniem odpowiedzialności z błędu technicznego na złą wolę organizacji rządowych.

Sam system jest w porządku, zresztą na iPhone'ach nie ma analogicznego zagrożenia. Nie można winić służby zdrowia i nie ma powodu, by tracić wiarę w ich dobre chęci. Nie ma żadnego rządowego spisku, problem tkwi w implementacji Androida i był tam na długo przed koronawirusem.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło tekstu: The Markup, AppCensus

Przewiń w dół do następnego wpisu