Google, Android Kişi İzleme Uygulaması Gizlilik Hatasını Yok Sayıyor

Google ignore la faille de confidentialité de l’application de suivi des contacts Android

⌛ Reading Time: 4 minutes

Lorsque le monde est devenu paralysé pendant la pandémie de COVID-19 il y a plus d’un an, le monde de la technologie s’est précipité pour aider. Google et Apple ont chacun développé des applications de recherche de contacts destinées à vous alerter d’un éventuel contact COVID-19, promettant ainsi la confidentialité. Bien qu’il semble qu’Apple ait tenu sa promesse, les chercheurs ont découvert une faille de confidentialité dans l’application de recherche de contacts Android.

Défaut de confidentialité de l’application de traçage des contacts découvert

L’idée derrière les deux applications de recherche de contacts est qu’elles utiliseront vos données de localisation pour vous alerter si vous étiez en contact avec une personne ayant un cas connu de COVID.

Les applications de recherche de contacts Android et Apple ont été téléchargées par des millions d’utilisateurs à l’échelle internationale. Les différents pays et états ont mis en place leurs propres versions de l’application.

Les chercheurs d’AppCensus ont testé les applications dans le cadre d’un contrat avec le département américain de la Sécurité intérieure. Alors qu’il trouvé une faille de confidentialité dans l’application de recherche de contacts Android, AppCensus affirme que Google l’a ignoré lorsqu’il a été confronté au problème en février de cette année.

«Ce correctif est une chose d’une ligne où vous supprimez une ligne qui enregistre les informations sensibles dans le journal système. Cela n’a pas d’incidence sur le programme; cela ne change pas la façon dont cela fonctionne », a déclaré Joel Reardon, co-fondateur et responsable de la médecine légale d’AppCensus. “C’est une solution tellement évidente, et j’ai été sidéré que cela ne soit pas vu comme ça.”

Google, cependant, a défendu ses actions. “Nous avons été informés d’un problème où les identifiants Bluetooth étaient temporairement accessibles à des applications spécifiques au niveau du système à des fins de débogage, et nous avons immédiatement commencé à déployer un correctif pour résoudre ce problème”, a déclaré le porte-parole de Google, José Castañeda, dans un communiqué envoyé par courrier électronique.

Virus de traçage des contacts Android

App Census a doublé, car le co-fondateur et directeur technique Serge Egelman a déclaré que Google avait ignoré à plusieurs reprises les préoccupations portées à son attention. Cependant, Castañeda a également doublé, affirmant que le “déploiement de cette mise à jour sur les appareils Android a commencé il y a plusieurs semaines et sera terminé dans les prochains jours”.

Pourquoi c’est considéré comme une faille de confidentialité

Reardon a expliqué que le problème avec l’application de suivi des contacts Android est considéré comme une faille de confidentialité, car les applications préinstallées ont accès aux informations sensibles collectées par l’application de suivi des contrats et stockées dans les journaux système.

L’application de traçage des contrats échange des signaux Bluetooth anonymes avec d’autres appareils avec l’application. Pour améliorer la confidentialité, les signaux sont changés toutes les 15 minutes et une clé qui crée les signaux est changée toutes les 24 heures.

Les signaux sont enregistrés dans les journaux système auxquels les applications préinstallées ont également accès. Ces journaux peuvent contenir le nom de l’appareil, l’adresse MAC et l’identifiant publicitaire collectés à partir des autres applications.

Détection de suivi des contacts Android

“Ce que Google dit, c’est que ces journaux ne quittent jamais l’appareil”, a déclaré Reardon. “Ils ne peuvent pas faire cette affirmation – ils ne savent pas si l’une de ces applications collecte les journaux système.”

Reardon a contacté Google une fois que la faille de confidentialité a été découverte dans l’application de recherche de contacts Android pour la signaler au programme de primes de bogues de Google. Il a reçu un e-mail en retour stipulant que la faille de confidentialité n’était pas suffisante pour qu’AppCensus reçoive le paiement.

Cependant, cela semble quelque peu odieux. Les utilisateurs inquiets pour leur sécurité physique sont soumis à la perspective d’une perte de sécurité des données. Espérons que Google travaille vraiment là-dessus – les utilisateurs ne devraient pas avoir à faire un tel choix.

Lisez la suite pour savoir comment Safe Blues Virtual Virus a été développé pour suivre COVID.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.