реклама
Разработанное Google и Apple приложение для отправки связанных с коронавирусом уведомлений в системе Android имеет уязвимость конфиденциальности. Из-за неё другие предустановленные на устройствах приложения могут видеть данные о том, что пользователь контактировал с заражёнными людьми. Об этом говорится в анализе от компании AppCensus. Google сообщает, что в настоящее время работает над исправлением этого бага.
Генеральный директор Google Сундар Пичаи, глава Apple Тим Кук и многочисленные официальные лица неоднократно заявляли, что данные этого приложения не выходят за пределы пользовательских устройств. Как обычно, в мире интернета это оказалось неправдой.
реклама
AppCensus поставила Google в известность в феврале, но тогда уязвимость не была устранена. При этом для исправления ситуации достаточно удалить несколько несущественных строк кода. Это в очередной раз показывает зачастую не самый серьёзный подход к конфиденциальности даже крупнейших технологических компаний.
Представитель Google говорит, что разработка обновления ведётся. «Нас уведомили о проблеме, при которой идентификаторы Bluetooth доступны для определённых системных приложений с целью отладки, и мы немедленно начали развёртывание исправления для решения этой проблемы».
Система уведомлений о воздействии COVID-19 работает при помощи отправки анонимных сигналов Bluetooth между смартфоном пользователя и другими смартфонами, где эта система также работает. Если человек заразился, он может указать это в приложении и контактировавшие с ним люди будут поставлены в известность.
На Android данные отслеживания контрактов записываются в привилегированную системную память, где они недоступны для большинства программ. Но предустановленные производителем приложения имеют особые системные привилегии, а значит и доступ к логам. Пока нет свидетельства того, чтобы сторонние приложения действительно получали доступ к этим данным.
Предустановленные приложения и раньше использовали свои особые разрешения. Некоторые исследования обнаруживали, что иногда они собирают данные о местоположении и номера телефонов контактов. На iPhone подобная проблема найдена не была.
«Проблема связана с реализацией, а не с самой системой уведомления о заражениях», говорит технический директор AppCensus Серж Эгельман. «Это не должно подрывать доверие к технологиям общественного здравоохранения».