Un bug nel firmware di Android ha potenzialmente consentito alle app preinstallate sui dispositivi di accedere ai registri dei dati delle app di tracciamento dei contatti. Ma il difetto risiede nel firmware di Google, non nelle app come immuni
I firmware di tracciamento dei contatti introdotti da Android nell’aprile dell’anno scorso presentano una falla nella privacy che consentirebbe ad altre app preinstallate di visualizzare i dati sensibili dell’utente, incluso se qualcuno fosse stato in contatto con una persona risultata positiva al Covid-19.
Il difetto è stato individuato dalla società di analisi della privacy AppCensus, che ha avvertito Google per permettergli di lavorare sulla correzione del bug.
Quando l’anno scorso Google e Apple hanno rilasciato gli aggiornamenti per permettere agli smartphone di utilizzare le applicazioni di contact tracing, le due società hanno rassicurato i loro utenti affermando che i dati generati attraverso le app come Immuni sarebbero stati resi anonimi e non sarebbero mai stati condivisi con nessuno che non fossero le agenzie di sanità pubblica.
Da allora i firmware di Android e Apple sono stati utilizzati per sviluppare le app scaricate e utilizzate da milioni di persone in tutto il mondo, e la loro sicurezza è stata ribadita da governi e sviluppatori internazionali. Se le applicazioni erano e sono effettivamente sicure e rispettano la privacy degli utenti difendendo i loro dati, il problema di Android risiedeva nell’implementazione del firmware fornito da Google su cui queste di basavano.
Secondo AppCensus risolvere il problema dei firmware sarebbe semplice come eliminare alcune righe di codice non essenziali. Il co-fondatore di AppCensus Joel Reardon ha affermato a The Markup che “è una soluzione così ovvia, e sono rimasto sbalordito che non ci si sia arrivati prima”.
Il problema individuato consentiva alle app preinstallate sui dispositivi android di ottenere i privilegi di sistema necessari per accedere ai registri nella memoria di sistema privilegiata nei quali sono archiviati i dati di tracciamento dei contatti. Di norma questi registri sono inaccessibili alla maggior parte dei software installati sui dispositivi. Il difetto riscontrato, quindi, ha esposto i dati degli utenti, anche se, non ci sono indicazioni che le app preinstallate abbiano effettivamente raccolto i dati da questi registri.
Un portavoce di Google ha spiegato a Wired che “Il sistema di Notifiche di Esposizione utilizza una tecnologia rispettosa della privacy che aiuta le autorità sanitarie a gestire la diffusione di COVID-19 e a salvare vite umane. Questo sistema non permette né a Google, né ad Apple, né ad altri utenti di vedere l’identità di una persona, e tutte le corrispondenze di Notifica di Esposizione avvengono sul dispositivo personale. Siamo stati informati di un problema per cui gli identificatori Bluetooth erano temporaneamente accessibili ad alcune applicazioni preinstallate a scopo di debug – cioè per l’individuazione e la correzione di eventuali errori. Non appena siamo stati informati di questa ricerca, abbiamo avviato il processo necessario per esaminare il problema, prendere in considerazione i possibili interventi e infine aggiornare il codice. Questi identificatori Bluetooth non rivelano la posizione di un utente né forniscono altre informazioni identificative. Non abbiamo alcuna indicazione che siano stati utilizzati in alcun modo, né che alcuna app ne fosse a conoscenza”.
[Articolo aggiornato il 20/4/2021 alle 11:44 inserendo la dichiarazione di Google]
Leggi anche
Potrebbe interessarti anche