Android miał lukę, która ujawnia wrażliwe informacje preinstalowanym aplikacjom. Mogą one odczytać informacje zbierane przez system śledzenia kontaktów międzyludzkich i ostrzegania o kontakcie z COVID-19. System został opracowany przez Google i Apple na potrzeby walki z pandemią.
Luka w systemie Android pozwala aplikacjom uzyskać dostęp do informacji bardzo ważnych: czy właściciel telefonu miał kontakt z osobą, u której wykryto COVID-19. Gdy ten system śledzenia kontaktów międzyludzkich powstawał, obrońcy prywatności mieli bardzo dużo obaw. Google, Apple i organizacje ochrony zdrowia musiały zagwarantować, że danych o kontaktach nie będzie można wynieść „na zewnątrz” i że nie będą zawierały żadnych danych osób, a jedynie anonimowe identyfikatory. Nie udało się, zresztą nie mogło się udać. Nie ma systemu operacyjnego, który perfekcyjnie zabezpiecza wszystko.
System ostrzegający o narażeniu na kontakt z COVID-19 regularnie „woła” urządzenia dookoła, korzystając z łączności Bluetooth. Smartfony wymieniają się anonimowymi identyfikatorami, które są przechowywane przez określony czas w ich pamięci. Dzięki temu można ostrzegać wszystkie osoby, które przebywały w pobliżu osoby zakażonej, jeśli uzyska ona pozytywny wynik testu. Organizacje rządowe mogą uruchomić „alarm” dla identyfikatora telefonu tej osoby. Warto tu dodać, że z API wadliwego rozwiązania korzysta polska aplikacja ProteGO Safe.
Zobacz: Apple i Google chcą śledzić kontakty międzyludzkie… znaczy koronawirusa
Identyfikatory są przechowywane chronionej pamięci, do której nie ma dostępu większość aplikacji. Większość, ale nie wszystkie. Okazało się bowiem, że aplikacje preinstalowane przez producentów mają wyższe uprawnienia i mogą do tej sekcji pamięci zaglądać. To stwarza ryzyko, że dane wpadną w niepowołane ręce. Nie ma dowodów, że któraś z aplikacji próbowała się do tych logów dobrać, ale lepiej dmuchać na zimne. Znane są przypadki, że aplikacje instalowane przez producentów w ten właśnie sposób wyprowadzały z telefonów kontakty albo dane o lokalizacji.
Błąd znalazła firma analityczna AppCensus i zgłosiła go Google'owi w połowie lutego. Naprawienie go jest banalnie proste – tak przynajmniej twierdzi Joel Reardon z AppCensus. Podobno wystarczy usunąć kilka linijek kodu i załatwione. Google jednak jeszcze tego nie zrobił, a rzecznik poinformował, że „prace trwają”. Może jednak nie jest tak łatwo? Google musi myśleć też o swoich klientach, którzy korzystają z systemu Android i tworzą własne aplikacje.
Pracownicy AppCensus ostrzegają przed przenoszeniem odpowiedzialności z błędu technicznego na złą wolę organizacji rządowych.
Before I go into details of why this is a big deal, I had hoped this statement would make it into the article, because I think it's incredibly important that this be put in context (but understandable, since I provided it at the last minute).
— Serge Egelman (@v0max) April 27, 2021
2/n pic.twitter.com/IvwUQ62bp6
Sam system jest w porządku, zresztą na iPhone'ach nie ma analogicznego zagrożenia. Nie można winić służby zdrowia i nie ma powodu, by tracić wiarę w ich dobre chęci. Nie ma żadnego rządowego spisku, problem tkwi w implementacji Androida i był tam na długo przed koronawirusem.
Źródło tekstu: The Markup, AppCensus
