Android-версия приложения Google и Apple для уведомления о контактах с больными COVID-19 имела изъян обеспечении конфиденциальности. Он позволял другим предустановленным приложениям потенциально видеть конфиденциальные данные, в том числе, если кто-то контактировал с человеком, у которого был положительный результат на COVID-19. Об этом заявила компания по анализу конфиденциальности AppCensus.
Эта ошибка противоречит неоднократным обещаниям генерального директора Google Сундара Пичаи, генерального директора Apple Тима Кука и многочисленных официальных лиц сферы здравоохранения о том, что данные, собранные программой уведомления о взаимодействии, не могут быть переданы за пределы устройства пользователя.
AppCensus уведомила Google об уязвимости ещё в феврале, но поисковый гигант не смог устранить её. Хотя по словам сотрудника AppCensus, решить проблему будет так же просто, как удалить несколько несущественных строк кода.
Представитель Google Хосе Кастаньеда заявил, что в настоящее время компания работает над устранением ошибки:
«Нас уведомили о проблеме, при которой Bluetooth-идентификаторы были временно доступны для определённых приложений системного уровня для целей отладки, и мы немедленно начали развертывание исправления для решения этой проблемы».
Система уведомления о взаимодействии работает путём отправки анонимных Bluetooth-сигналов между смартфоном пользователя и другими смартфонами с активированной системой. Затем, если кто-то, использующий приложение, получит положительный результат на COVID-19, он может сотрудничать с органами здравоохранения, чтобы отправить предупреждение на любые смартфоны с соответствующими сигналами, зарегистрированными в памяти устройства.
На Android-смартфонах данные отслеживания контактов записываются в привилегированную системную память, где они недоступны для большинства работающих приложений. Но приложения, изначально предустановленные производителями, получают особые системные привилегии, которые позволяют им получать доступ к этим журналам, подвергая риску конфиденциальные данные отслеживания контактов. На данный момент нет никаких указаний на то, что какие-либо приложения действительно собирали эти данные.
«Проблема связана с реализацией, а не с системой уведомления о раскрытии информации», — заявил технический директор AppCensus Серж Эгельман.
Анализ не обнаружил подобных проблем с системой уведомления о взаимодействии на iPhone.
Источник: The Verge