Google ignora il difetto della privacy delle app di tracciamento dei contatti Android

Google ignora il difetto della privacy delle app di tracciamento dei contatti Android

Quando il mondo è rimasto paralizzato durante la pandemia COVID-19 più di un anno fa, il mondo della tecnologia si è lanciato in aiuto. Google e Apple hanno sviluppato app di tracciamento dei contatti intese ad avvisarti di un possibile contatto COVID-19, promettendo privacy. Mentre sembra che Apple abbia mantenuto la sua promessa, i ricercatori hanno trovato un difetto di privacy nell’app di tracciamento dei contatti Android.

Rilevato difetto nella privacy dell’app per il tracciamento dei contatti

L’idea alla base di entrambe le app di tracciamento dei contatti è che utilizzeranno i dati sulla tua posizione per avvisarti se eri in contatto con qualcuno con un caso noto di COVID.

Le app di tracciamento dei contatti Android e Apple sono state scaricate da milioni di utenti a livello internazionale. I singoli paesi e stati hanno portato le proprie versioni dell’app.

I ricercatori di AppCensus hanno testato le app tramite un contratto con il Dipartimento per la sicurezza interna degli Stati Uniti. Mentre esso trovato un difetto di privacy nell’app di tracciamento dei contatti Android, AppCensus afferma che Google l’ha ignorato quando è stato presentato il problema nel febbraio di quest’anno.

“Questa correzione è una riga in cui si rimuove una riga che registra le informazioni sensibili nel registro di sistema. Non influisce sul programma; non cambia il modo in cui funziona “, ha detto il co-fondatore e responsabile forense di AppCensus, Joel Reardon. “È una soluzione così ovvia, e sono rimasto sbalordito che non sia stato visto come quello.”

Google, tuttavia, ha difeso le sue azioni. “Siamo stati informati di un problema in cui gli identificatori Bluetooth erano temporaneamente accessibili a specifiche applicazioni a livello di sistema per scopi di debug e abbiamo immediatamente iniziato a implementare una soluzione per risolvere questo problema”, ha affermato il portavoce di Google José Castañeda in una dichiarazione inviata tramite email.

Virus di tracciamento contatti Android

Il censimento delle app è raddoppiato, poiché il co-fondatore e CTO Serge Egelman ha affermato che Google ha ripetutamente ignorato le preoccupazioni portate alla sua attenzione. Tuttavia, Castañeda, ha anche raddoppiato, dicendo che “il lancio di questo aggiornamento sui dispositivi Android è iniziato diverse settimane fa e sarà completato nei prossimi giorni”.

Perché è considerato un difetto di privacy

Reardon ha spiegato che il problema con l’app di tracciamento dei contatti Android è considerato un difetto di privacy perché le app preinstallate hanno accesso a informazioni sensibili raccolte dall’app di tracciamento del contratto e memorizzate nei log di sistema.

L’app di tracciamento del contratto scambia segnali Bluetooth anonimi con altri dispositivi con l’app. Per migliorare la privacy, i segnali vengono cambiati ogni 15 minuti e una chiave che crea i segnali viene cambiata ogni 24 ore.

I segnali vengono salvati nei registri di sistema a cui hanno accesso anche le app preinstallate. Tali registri potrebbero contenere il nome del dispositivo, l’indirizzo MAC e l’ID pubblicitario raccolti dalle altre app.

Rilevamento tracciamento contatti Android

“Quello che Google sta dicendo è che questi log non lasciano mai il dispositivo”, ha detto Reardon. “Non possono fare questa affermazione – non sanno se qualcuna di queste app sta raccogliendo i log di sistema.”

Reardon aveva contattato Google una volta che il difetto di privacy è stato trovato nell’app di tracciamento dei contatti Android per segnalarlo al programma bug bounty di Google. Ha ricevuto un’e-mail di risposta in cui si afferma che la falla sulla privacy non era sufficiente per AppCensus per ricevere il pagamento.

Tuttavia, sembra un po ‘atroce. Gli utenti preoccupati per la loro sicurezza fisica sono soggetti alla prospettiva di una perdita di sicurezza dei dati. Si spera che Google stia davvero lavorando su questo: gli utenti non dovrebbero dover fare una scelta del genere.

Continua a leggere per scoprire come è stato sviluppato Safe Blues Virtual Virus per monitorare COVID.

Torna su