Un esperto di sicurezza e analisi forense ha scoperto una grave vulnerabilità nelle app di contact tracing. A causa di errori di implementazione, centinaia di app preinstallate sui dispositivi Android possono accedere al log creato dal sistema sviluppato da Google e Apple. L’azienda di Mountain View ha promesso la distribuzione di un fix nei prossimi giorni. Altri bug erano stati individuati e corretti in passato, ma questo rappresenta un pericolo maggiore per la privacy.
Contact tracing: privacy non garantita
Le app per il contact tracing, come Immuni, utilizzano il sistema Notifiche di esposizione per avvisare un utente che ha avuto un contatto ravvicinato con una persona risultata positiva al COVID-19. Ciò avviene tramite identificatori Bluetooth scambiati tra i dispositivi che variano ogni 10-20 minuti per garantire la privacy (non è possibile risalire all’identità della persona e alla sua posizione geografica).
Su Android gli identificatori Bluetooth sono memorizzati nel log di sistema, al quale nessuna app può accedere, ad eccezione di quelle preinstallate che hanno privilegi più elevati rispetto alle app di terze parti. Qualcuno potrebbe quindi leggere il log ed estrarre gli identificatori che, abbinati ad altre informazioni (email, numero di telefono, indirizzo MAC) permette di risalire all’identità dell’utente.
Il ricercatore ha segnalato il bug a Google, ma finora non è stato risolto. Un portavoce ha dichiarato che gli identificatori Bluetooth sono temporaneamente accessibili a specifiche app usate per il debugging. La distribuzione del fix è già inziata e verrà completata nei prossimi giorni.
Aggiornamento
Google ha spiegato il problema e ha allontanato ogni rischio per gli utenti.
Ti potrebbe interessare
28 apr 2021