test adv
,

Данные COVID-заражённых на Android хранились год без защиты. Уязвимость исправили только сейчас

Производители могли получать к ним доступ через предустановленные на устройствах приложения. Google заверила, что утечек не происходило

В феврале 2021 года в технологии Google для отслеживания контактов COVID-19 обнаружили уязвимость. Встроенный в операционную систему Android инструмент оказался недоработанным, поэтому конфиденциальные данные потенциально заражённых пользователей, которые собирались на основе анонимных Bluetooth-идентификаторов, могли прочитываться сторонними приложениями производителей, установленными на устройстве. Как сообщает издание The Markup, спустя более чем два месяца Google официально признала ошибку, хотя ранее опасения относительно неё неоднократно отвергались.

Отчёт о некорректной работе Android-фреймворка для выявления коронавируса был прислан Джоэлом Рирдоном (Joel Reardon), соучредителем аналитического сервиса AppCencus, в рамках поощрительной программы по поиску уязвимостей Bug Bounty. Проблема заключалась в том, что сотни предустановленных приложений на различных Android-устройствах (например, Samsung Internet и Motorola MotoCare) имели доступ к закрытой информации по отслеживанию COVID-19, хранящейся в системных журналах. Согласно исследованию, в общей сложности у более 400 приложений Samsung, Motorola, Huawei и других компаний был доступ к чтению системных журналов.

По словам Рирдона, системные журналы содержат данные о том, контактировал ли человек с кем-то, у кого был положительный результат теста на COVID-19, и некоторую идентифицирующую информацию (имя устройства, MAC-адрес, рекламный идентификатор). Таким образом, журналы могли отправляться на удалённые серверы вышеуказанных компаний при том, что они обрабатываются и хранятся локально на устройстве.

Данные COVID-заражённых на Android хранились год без защиты. Уязвимость исправили только сейчас
Как выглядит процесс Bluetooth-обмена анонимными «идентификаторами близости». Сигнал обновляется каждые 15 минут, чтобы затруднить идентификацию, и передаётся в виде генерируемого ключа, меняющегося каждые 24 часа | Google, Apple

AppCencus тестировал Android-технологию выявления COVID-19 по контракту с Министерством национальной безопасности. Отмечается, что эксперты не обнаружили аналогичных уязвимостей во фреймворке Apple, использующемся в iOS на iPhone. С момента запуска совместной платформы Google и Apple несколько государств разработали приложения на её основе: приложение Национальной службы здравоохранения Великобритании установили 16 млн пользователей, канадское приложение Digital Service COVID Alert установили 6 млн, а Министерство здравоохранения Вирджинии объявило, что более двух миллионов жителей штата используют приложение COVIDWISE.

The Markup отмечает, что когда Google и Apple представили платформу для отслеживания контактов COVID-19 в апреле 2020 года, обеспокоенных обменом частной медицинской информацией людей заверили в полной безопасности. Сундар Пичаи (глава Google) и Тим Кук (глава Apple) гарантировали, что данные, полученные с помощью приложений, — передвижения людей, их связи с другими и сообщения о положительном тесте на наличие коронавируса — будут совершенно анонимными и никогда не будут переданы никому, кроме учреждений общественного здравоохранения. Этим инструментом обещали бороться с пандемией, сохраняя конфиденциальность пользователей.

Пресс-служба Google в комментарии подтвердила, что за прошедшее время никаких утечек не произошло, а обновление Android с исправлением уязвимости стало доступно несколько недель назад и выпуск «будет завершён в ближайшие дни».


Последнее изменение:
 

Добавить комментарий
Если нужно ответить кому-то конкретно,
лучше нажать на «Ответить» под его комментарием