Agence web » Actualités du digital » Un bug Android laisse certaines applications accéder incorrectement aux données de traçage COVID-19 –

Un bug Android laisse certaines applications accéder incorrectement aux données de traçage COVID-19 –

ParTremplin Numérique Publié le
Google Android figure debout sur un clavier d'ordinateur portable avec du code en arrière-plan
quietbits / Shutterstock.com

UNE défaut de confidentialité dans la version Android d’Apple et l’application de notification d’exposition COVID-19 de Google permettait potentiellement à d’autres applications préinstallées de voir des données sensibles, y compris si les utilisateurs étaient en contact avec une personne COVID positive. Google travaille actuellement sur le déploiement d’un correctif.

Cabinet d’analyse de la confidentialité AppCensus a remarqué le bogue pour la première fois en février et l’a signalé à Google. Cependant, selon Le balisage, Google n’a pas réussi à y remédier à l’époque. Le bogue va à l’encontre de plusieurs promesses faites par le PDG d’Apple Tim Cook, le PDG de Google Sundar Pichai et plusieurs responsables de la santé publique selon lesquels les données collectées à partir de l’application d’exposition ne seraient pas partagées au-delà de l’appareil d’un individu.

«Le correctif est une chose sur une seule ligne où vous supprimez une ligne qui enregistre des informations sensibles dans le journal système. cela n’a pas d’impact sur le programme, cela ne change pas son fonctionnement », a déclaré Joel Reardon, co-fondateur et responsable de la criminalistique d’AppCensus dans le même entretien avec Le balisage. «C’est une solution tellement évidente, et j’étais sidéré que ce ne soit pas vu comme ça.

L’article partageait également une citation du porte-parole de Google, José Castañeda, qui a déclaré: «Nous avons été informés d’un problème où les identifiants Bluetooth étaient temporairement accessibles à des applications spécifiques au niveau du système à des fins de débogage, et nous avons immédiatement commencé à déployer un correctif pour résoudre ce problème.»

Mains tenant le téléphone Android et l'iPhone ensemble affichant leurs logos, respectivement
Daria Nipot / Shutterstock.com

Pour que le système de notification d’exposition fonctionne, il doit envoyer une requête ping aux signaux Bluetooth anonymisés des appareils dont le système est activé. Ensuite, si l’un des utilisateurs est testé positif au COVID-19, il collabore avec les autorités sanitaires pour envoyer une alerte aux autres utilisateurs qui sont entrés en contact avec cette personne avec les signaux correspondants enregistrés dans la mémoire du téléphone.

Le problème est que, sur les téléphones Android, les données de suivi de contrat sont enregistrées dans la mémoire système privilégiée. Bien que la plupart des applications et des logiciels exécutés sur ces appareils n’y aient pas accès, les applications préinstallées par des fabricants comme Google, LG ou Verizon disposent de privilèges système spéciaux qui leur permettent d’accéder potentiellement à ces journaux de données, ce qui les rend vulnérables.

Cependant, AppCensus n’a trouvé aucune indication selon laquelle des applications préinstallées avaient collecté des données, ni trouvé que c’était le cas avec le système de notification d’exposition sur les iPhones. Le directeur de la technologie de l’entreprise, Serge Egelmen, a souligné sur Twitter que le bogue est un problème de mise en œuvre et non la faute du système de notification d’exposition et qu’il devrait nuire à la confiance du public dans les technologies de santé publique.

passant par Le bord

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.