Рубрики Новости

Из-за ошибки предустановленные приложения на Android могли получать доступ к данным отслеживания контактов с COVID-19

Опубликовал
Вадим Карпусь

Android-версия приложения Google и Apple для уведомления о контактах с больными COVID-19 имела изъян обеспечении конфиденциальности. Он позволял другим предустановленным приложениям потенциально видеть конфиденциальные данные, в том числе, если кто-то контактировал с человеком, у которого был положительный результат на COVID-19. Об этом заявила компания по анализу конфиденциальности AppCensus.

Эта ошибка противоречит неоднократным обещаниям генерального директора Google Сундара Пичаи, генерального директора Apple Тима Кука и многочисленных официальных лиц сферы здравоохранения о том, что данные, собранные программой уведомления о взаимодействии, не могут быть переданы за пределы устройства пользователя.

AppCensus уведомила Google об уязвимости ещё в феврале, но поисковый гигант не смог устранить её. Хотя по словам сотрудника AppCensus, решить проблему будет так же просто, как удалить несколько несущественных строк кода.

Представитель Google Хосе Кастаньеда заявил, что в настоящее время компания работает над устранением ошибки:

Курс QA від Mate academy.
Найпростіший шлях розпочати кар'єру в ІТ та ще й з гарантованим працевлаштуванням.
Інформація про курс

«Нас уведомили о проблеме, при которой Bluetooth-идентификаторы были временно доступны для определённых приложений системного уровня для целей отладки, и мы немедленно начали развертывание исправления для решения этой проблемы».

Система уведомления о взаимодействии работает путём отправки анонимных Bluetooth-сигналов между смартфоном пользователя и другими смартфонами с активированной системой. Затем, если кто-то, использующий приложение, получит положительный результат на COVID-19, он может сотрудничать с органами здравоохранения, чтобы отправить предупреждение на любые смартфоны с соответствующими сигналами, зарегистрированными в памяти устройства.

На Android-смартфонах данные отслеживания контактов записываются в привилегированную системную память, где они недоступны для большинства работающих приложений. Но приложения, изначально предустановленные производителями, получают особые системные привилегии, которые позволяют им получать доступ к этим журналам, подвергая риску конфиденциальные данные отслеживания контактов. На данный момент нет никаких указаний на то, что какие-либо приложения действительно собирали эти данные.

«Проблема связана с реализацией, а не с системой уведомления о раскрытии информации», — заявил технический директор AppCensus Серж Эгельман.

Анализ не обнаружил подобных проблем с системой уведомления о взаимодействии на iPhone.

Источник: The Verge

Disqus Comments Loading...