9

Błąd Androida spowodował, że dane aplikacji anty-COVID były dostępne dla preinstalowanych programów

stop covid
Jak się okazuje, aplikacje przeciwcovidowe przechowywały dane o naszych kontaktach w miejscu, w którym dostęp do nich miały inne programy. Co więcej, błąd był bardzo łatwy do naprawienia.

Kiedy w marcu 2020 pandemia zaczęła być realnym zagrożeniem dla Europy i Stanów Zjednoczonych, największe firmy IT na świecie zaczęły się zastanawiać, w jaki sposób mogą pomóc w walce z zagrożeniem. Jednym z pomysłów była wspólna inicjatywa Google i Apple, dzięki której powstało międzyplatformowe API, pozwalające zbierać informację o tym, z kim się kontaktujemy i przekazywać nam informację o tym, że przebywaliśmy w pobliżu osoby zarażonej. Ideą było, by każdy pobrał aplikację wykorzystującą to API na telefon (w Polsce było to PROTEGO) i dzięki połączeniu bluetooth wszyscy, którzy mogli zostać zarażeni, zostawali w domach na kwarantannie. Niestety kiepskie wykonanie samych aplikacji, w połączeniu z tym, że po jakimś czasie przestano ją nawet promować skutkowało tym, że taki program jak PROTEGO w Polsce okazał się zwyczajną klapą. Do długiej listy zarzutów dot. zachowania prywatności można teraz dorzucić jeszcze jeden – lukę w samym API.

Dane z aplikacji śledzących były dostępne dla innych programów w systemie Android

Jak donosi The Verge, instytucja zajmująca się badaniem bezpieczeństwa –  AppCensus – wykryła niedawno, że błąd systemu Android sprawiał, że informacje o tym, z jakim telefonem nasze urządzenie znajdowało się w pobliżu, są narażone na wyciek ze względu na sposób ich przechowywania. Dane te przechowywane są w specjalnym wycinku pamięci urządzenia do którego nie mają dostępu inne aplikacje. Jak się jednak okazuje, preinstalowane programy posiadają pewne specjalne uprawnienia, pozwalające na pozyskiwanie tych danych.

Co więcej, zdarzały się przypadki, że niektóre z nich z tej możliwości korzystały. W tym wypadku nie ma dowodów na to, że którakolwiek aplikacja skorzystała z tej możliwości, jednak sam fakt, iż mogło do tego dojść stawia całą ideę w bardzo niekorzystnym świetle. Kiedy bowiem API było wdrażane, Google zapewniało o całkowitym bezpieczeństwie systemu i dbaniu o prywatność osób z niego korzystających. Tym bardziej, że według współzałożyciela AppCensus, Joels Reardona, problem mógł być naprawiony już dawno temu:

To jest bardzo prosta poprawka i byłem zdumiony, że nie była postrzegana jako jako taka

Google, ustami rzecznika prasowego, odpowiedziało, że jest świadome problemu i pracuje nad rozwiązaniem

Zostaliśmy powiadomieni o problemie polegającym na tym, że identyfikatory Bluetooth były tymczasowo dostępne dla aplikacji systemowych i natychmiast zaczęliśmy wdrażać poprawkę, aby rozwiązać ten problem

Oczywiście, jest duża szansa, że nikt pokusił się o to, by próbować dotrzeć do danych o kontaktach zgromadzonych przez aplikacje przeciwcovidowe za pośrednictwem shakowania aplikacji systemowych na czyimś telefonie. Problemem jest jednak fakt, że jest to kolejny z wielu przypadków, który pokazuje, dlaczego zaufanie słowom największych korporacji i zawierzenie im swoich prywatnych danych wiąże się z dużym ryzykiem.

Źródło