„Android“ klaida atskleidė iš anksto įdiegtų programų COVID-19 kontaktų sekimo žurnalus

Iš anksto įdiegtos „Android“ telefonų programos gali pasiekti slaptus duomenis

Alexo Castro iliustracija / The Verge

„Google“ ir „Apple“ pranešimų apie „COVID-19“ programos „Android“ versijoje buvo privatumo trūkumas, leidžiantis kitoms iš anksto įdiegtoms programoms potencialiai matyti neskelbtinus duomenis, įskaitant tai, kad kas nors turėjo ryšį su asmeniu, kurio testas buvo teigiamas dėl COVID-19, privatumo analizės įmonė „AppCensus“atskleista antradienį. „Google“ teigia, kad šiuo metu ji ištaiso klaidą.



Ši klaida sutampa su pakartotiniais „Google“ generalinio direktoriaus Sundaro Pichai, „Apple“ generalinio direktoriaus Timo Cooko ir daugelio visuomenės sveikatos pareigūnų pažadais, kad duomenų, surinktų pranešant apie poveikį programai, negalima bendrinti ne asmens įrenginyje.

„AppCensus“ pirmą kartą pranešė apie „Google“ pažeidžiamumą vasario mėnesį, tačiau įmonei nepavyko to išspręsti, „Markup“pranešė. Išspręsti problemą būtų taip paprasta, kaip ištrinti keletą neesminių kodo eilučių, sakė Joelas Reardonas, „AppCensus“ įkūrėjas ir teismo ekspertas.„Markup“. Tai toks akivaizdus pataisymas, ir aš buvau nudžiugęs, kad to nematė, sakė Reardonas.

stebėtis visais naujais, skirtingais

Nuolat atnaujinami problemos sprendimo būdai, sakoma „Google“ atstovo José Castañedos pranešime el. Paštu„Markup“.Mums buvo pranešta apie problemą, kai „Bluetooth“ identifikatoriai buvo laikinai prieinami konkrečioms sistemos lygio programoms derinimo tikslais, ir mes nedelsdami pradėjome taisyti šią problemą, sakė jis.



Thepranešimo apie poveikį sistemaveikia pinginant anoniminius „Bluetooth“ signalus tarp vartotojo telefono ir kitų telefonų, kuriuose yra įjungta sistema. Tada, jei kas nors naudojasi programa, COVID-19 testas yra teigiamas, jis gali bendradarbiauti su sveikatos priežiūros institucijomis ir išsiųsti įspėjimą į bet kurį telefoną su atitinkamais signalais, užregistruotais telefono atmintyje.

„Android“ telefonuose sutarties atsekimo duomenys užregistruojami privilegijuotoje sistemos atmintyje, kur daugumai programinės įrangos, veikiančių telefone, jie neprieinami. Tačiau gamintojų iš anksto įdiegtos programos gauna specialias sistemos privilegijas, kurios leistų jiems pasiekti tuos žurnalus, rizikuojant konfidencialiais kontaktų sekimo duomenimis. Nėra jokių požymių, kad jokios programos būtų surinkusios tuos duomenis šiuo metu, „Reardon“sakė.

Iš anksto įdiegtos programos jau anksčiau pasinaudojo savo specialiaisiais leidimais -kiti tyrimairodo, kad jie kartais renka duomenis, pvz., informaciją apie geografinę vietą ir telefono kontaktus.



Analizė nerado jokių panašių problemų dėl „iPhone“ pranešimų apie poveikį sistemos.

Problema yra įgyvendinimo problema, kuri nėra būdinga pranešimo apie poveikį sistemai, sakė „AppCensus“ vyriausiasis technologijų pareigūnas Serge'as Egelmanas.paskelbta „Twitter“. Tai neturėtų mažinti pasitikėjimo visuomenės sveikatos technologijomis. Tikimės, kad pamoka yra ta, kad privatumo užtikrinimas yra tikrai sunkus, sistemose visada bus aptikta pažeidžiamumų, tačiau kad visi suinteresuoti dirbti kartu, kad būtų išspręstos šios problemos, sakė Egelmanas.

aido paroda 5 vs 8