Contact tracing: scoperto un altro bug nelle app

Contact tracing: scoperto un altro bug nelle app

Un bug nella funzionalità di contact tracing permette alle app preinstallate di accedere al log in cui sono memorizzati i dati del tracciamento.
Un bug nella funzionalità di contact tracing permette alle app preinstallate di accedere al log in cui sono memorizzati i dati del tracciamento.

Un esperto di sicurezza e analisi forense ha scoperto una grave vulnerabilità nelle app di contact tracing. A causa di errori di implementazione, centinaia di app preinstallate sui dispositivi Android possono accedere al log creato dal sistema sviluppato da Google e Apple. L'azienda di Mountain View ha promesso la distribuzione di un fix nei prossimi giorni. Altri bug erano stati individuati e corretti in passato, ma questo rappresenta un pericolo maggiore per la privacy.

Contact tracing: privacy non garantita

Le app per il contact tracing, come Immuni, utilizzano il sistema Notifiche di esposizione per avvisare un utente che ha avuto un contatto ravvicinato con una persona risultata positiva al COVID-19. Ciò avviene tramite identificatori Bluetooth scambiati tra i dispositivi che variano ogni 10-20 minuti per garantire la privacy (non è possibile risalire all'identità della persona e alla sua posizione geografica).

Su Android gli identificatori Bluetooth sono memorizzati nel log di sistema, al quale nessuna app può accedere, ad eccezione di quelle preinstallate che hanno privilegi più elevati rispetto alle app di terze parti. Qualcuno potrebbe quindi leggere il log ed estrarre gli identificatori che, abbinati ad altre informazioni (email, numero di telefono, indirizzo MAC) permette di risalire all'identità dell'utente.

Il ricercatore ha segnalato il bug a Google, ma finora non è stato risolto. Un portavoce ha dichiarato che gli identificatori Bluetooth sono temporaneamente accessibili a specifiche app usate per il debugging. La distribuzione del fix è già inziata e verrà completata nei prossimi giorni.

Aggiornamento

Google ha spiegato il problema e ha allontanato ogni rischio per gli utenti.

Fonte: AppCensus
Link copiato negli appunti

Ti potrebbe interessare

28 04 2021
Link copiato negli appunti