Ошибка в Android могла раскрыть персональные данные зараженных COVID-19


EPA

В операционной системе Android была обнаружена ошибка, по вине которой персональная информация человека, согласившегося участвовать в системе отслеживания контактов при COVID-19, была доступна сотням предустановленных приложений. На уязвимость, которая до сих пор остается открытой, указала аналитическая компания AppCensus.

Речь идет о системе уведомлений о риске инфицирования COVID-19, разработанной Google совместно с Apple в прошлом году. Технология анонимного "коронавирусного" мониторинга полагается на отслеживание контактов при помощи Bluetooth: если человек узнал, что был инфицирован, то может об этом сообщить. После этого уведомление о риске заражения получат все другие владельцы iOS- или Android-смартфонов, которые в последние дни или недели достаточно близко находились рядом с ним.

Главы Google Сундар Пичаи и Apple Тим Кук уверяли, что система ковид-мониторинга абсолютно безопасна, а собираемая информация не может покинуть пределы устройства. Чтобы сохранить анонимность человека, сообщившего о положительном диагнозе на COVID-19, передаются не данные его смартфона, а анонимный ключ, значение которого меняется каждые 15 минут.

Однако в Android-версии инструмента была допущена ошибка, из-за которой сотни сторонних приложений имели доступ к закрытой информации о контактах при COVID-19, хранящейся в системных журналах. Оказалось, что эти данные, недоступные большинству программ, могли прочесть предустановленные производителями приложения, которые имеют особые привилегии на доступ к сегментам памяти Android.

Такими привилегиями обладают около 400 программ (например, браузер Samsung Browser и Motorola MotoCare) от Samsung, Motorola, Huawei и других компаний, рассказал изданию The Markup сооснователь AppCensus Джоэл Рирдон. Утечек зафиксировано не было, однако в теории данные о том, что пользователь находился в контакте с заболевшим COVID-19, а также название, MAC-адрес и рекламный идентификатор его устройства, могли быть отправлены на удаленные серверы.

Google была уведомлена об уязвимости еще в феврале, однако публично признала ее только сейчас, добавил Рирдон. Представители компании сообщили изданию, что "продолжают" принимать меры по устранению ошибки.