Desenvolvida em conjunto pela Apple e pelo Google podem ter várias falhas críticas de privacidade.
Aliados improváveis da Apple e do Google procuraram tranquilizar o público de que suas APIs de rastreamento de contatos tinham proteção de privacidade e segurança incorporadas. Eles alegaram que ninguém seria capaz de usar a tecnologia para rastrear a localização do usuário ou vender publicidade.
Como funciona o software?
Para identificar a exposição à Covid-19, a estrutura usa o que as duas empresas chamam de “identificadores de proximidade rotativos” ou pings de identidade habilitados para Bluetooth. O Bluetooth ID mudava a cada 15 minutos, dificultando a identificação de indivíduos. As informações coletadas também são armazenadas localmente e não em uma nuvem ou servidor físico.
A estrutura da Apple e do Google foi adotada em nível nacional pelos governos do Reino Unido e do Canadá, bem como por vários governos estaduais nos Estados Unidos, abrangendo dezenas de milhões de usuários.
Qual é a falha de segurança?
A falha de segurança, que parece afetar apenas a versão Android do aplicativo de rastreamento de contatos, foi identificada pela primeira vez pela AppCensus , uma empresa que realiza análises de privacidade em aplicativos. Em sua investigação, a empresa descobriu que os identificadores Bluetooth começaram a compartilhar informações confidenciais com aplicativos de nível de sistema.
A AppCensus fez a descoberta como parte de um contrato com o Departamento de Segurança Interna dos Estados Unidos para analisar as estruturas de segurança da ferramenta. A empresa não encontrou problemas com a versão iOS.
De acordo com a The Markup, que fez um relatório de acompanhamento sobre o problema, vários aplicativos pré-instalados em dispositivos Android, como o Samsung Browser e o Motorola MotoCare, tiveram acesso a essas informações de rastreamento de contato. Isso porque a estrutura foi projetada para armazenar as informações nos logs do sistema, com aplicativos pré-instalados, como os dois mencionados acima, tendo privilégios para acessar os dados também.
O relatório acrescentou que até 400 aplicativos pré-instalados desenvolvidos por empresas como Samsung, Motorola e Huawei retêm a funcionalidade de ler logs do sistema para relatórios de falhas e propósitos analíticos. É exatamente onde o aplicativo de rastreamento de contatos estava armazenando informações críticas.
A equipe de pesquisa do AppCensus acrescentou que os logs do sistema incluíam dados como se uma pessoa entrou em contato com um indivíduo que teve um teste de Covid-19 positivo confirmado. Algumas das informações podem ser pessoalmente identificáveis, como o nome de um dispositivo e o endereço MAC. Teoricamente falando, os aplicativos ofensivos poderiam ter coletado os dados e enviado de volta para sua empresa-mãe, mas os pesquisadores não encontraram nenhuma evidência de que o fizeram.
Como o Google ou a Apple responderam?
A equipe informou ao Google sobre suas descobertas por meio de um programa de recompensa por bugs em 19 de fevereiro e recebeu uma resposta deles quase um mês depois. O AppCensus finalmente recebeu um segundo e-mail do Google dizendo que eles não consideravam a falha um risco significativo e que não se qualificavam para o pagamento de recompensa por bug.
O Google só entrou em ação depois que jornalistas o procuraram para obter mais informações e corroborar as descobertas do AppCensus.
“Fomos notificados de um problema em que os identificadores Bluetooth estavam temporariamente acessíveis a aplicativos específicos de nível de sistema para fins de depuração e imediatamente começamos a implementar uma correção para resolver isso”, disse um porta-voz do Google em um comunicado.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
