В Android есть уязвимость, которая раскрывает конфиденциальную информацию предустановленным приложениям. Они могут читать информацию, собранную системой отслеживания и оповещением о контактах COVID-19. Система была разработана Google и Apple для борьбы с пандемией.
Уязвимость Android позволяет приложениям получать доступ к очень важной информации: контактировал ли владелец телефона с кем-то, у кого был диагностирован COVID-19. Когда была разработана эта система отслеживания контактов с людьми, защитники конфиденциальности сильно обеспокоились.
Google, Apple и медицинские организации должны были гарантировать, что контактная информация не может быть взята «за пределы» и что она не будет содержать никакой личной информации, только анонимные идентификаторы. Это не удалось, да и сделать это все равно было невозможно. Не существует операционной системы, которая бы все отлично защищала.
Данные из ProteGO Safe тоже под угрозой
Система оповещения о заражении COVID-19 регулярно «обзванивает» устройства по Bluetooth. Смартфоны обмениваются анонимными идентификаторами, которые хранятся в их памяти в течение определенного периода времени. Это позволяет предупредить любого, кто находился поблизости от инфицированного человека, в случае положительного результата теста.
Идентификаторы хранятся в защищенной памяти, недоступной для большинства приложений. Оказалось, что предустановленные производителями приложения имеют более высокие разрешения и могут просматривать этот раздел памяти. Это создает риск того, что ваши данные попадут в чужие руки.
Бывают случаи, когда приложения, установленные производителями, таким образом, извлекали контакты или данные о местоположении с телефонов.
Ошибка была обнаружена аналитиком AppCensus и сообщила о ней в Google в середине февраля. Исправить это очень просто - по крайней мере, так говорит Джоэл Рирдон из AppCensus. Видимо, достаточно удалить несколько строк кода и готово. Google, однако, еще не сделал этого, и представитель компании сказал, что «работа продолжается». Может, все-таки не все так просто?
Google также должен думать о своих клиентах, которые используют систему Android и создают свои собственные приложения.
Персонал AppCensus предостерегает от перекладывания ответственности с технической ошибки на недоброжелательность государственных организаций.