Cuando el mundo se paralizó durante la pandemia de COVID-19 hace más de un año, el mundo tecnológico saltó para ayudar. Google y Apple desarrollaron aplicaciones de rastreo de contactos destinadas a alertarlo sobre un posible contacto COVID-19, prometiendo privacidad. Si bien parece que Apple cumplió su promesa, los investigadores han encontrado una falla de privacidad en la aplicación de rastreo de contactos de Android.
Se descubrió una falla de privacidad de la aplicación de rastreo de contactos
La idea detrás de ambas aplicaciones de rastreo de contactos es que usarán sus datos de ubicación para alertarlo si estuvo en contacto con alguien con un caso conocido de COVID.
Las aplicaciones de rastreo de contactos de Android y Apple han sido descargadas por millones de usuarios a nivel internacional. Los países y estados individuales tienen sus propias versiones de la aplicación.
Los investigadores de AppCensus probaron las aplicaciones a través de un contrato con el Departamento de Seguridad Nacional de EE. UU. Mientras que encontró una falla de privacidad en la aplicación de rastreo de contactos de Android, AppCensus dice que Google lo ignoró cuando se le presentó el problema en febrero de este año.
“Esta corrección es una cosa de una línea en la que se elimina una línea que registra información confidencial en el registro del sistema. No afecta el programa; no cambia cómo funciona ”, dijo el cofundador y líder forense de AppCensus, Joel Reardon. «Es una solución tan obvia, y me sorprendió que no se viera así».
Google, sin embargo, defendió sus acciones. “Se nos notificó de un problema en el que los identificadores de Bluetooth eran accesibles temporalmente para aplicaciones específicas de nivel de sistema con fines de depuración, e inmediatamente comenzamos a implementar una solución para solucionarlo”, afirmó el portavoz de Google, José Castañeda, en un comunicado enviado por correo electrónico.
El censo de aplicaciones se duplicó, ya que el cofundador y director de tecnología, Serge Egelman, dijo que Google ignoró repetidamente las preocupaciones señaladas a su atención. Sin embargo, Castañeda también se duplicó y dijo que «la implementación de esta actualización en los dispositivos Android comenzó hace varias semanas y estará completa en los próximos días».
Por qué se considera un defecto de privacidad
Reardon explicó que el problema con la aplicación de seguimiento de contactos de Android se considera un defecto de privacidad porque las aplicaciones preinstaladas tienen acceso a información confidencial recopilada por la aplicación de seguimiento de contratos y almacenada en los registros del sistema.
La aplicación de rastreo de contratos intercambia señales Bluetooth anónimas con otros dispositivos con la aplicación. Para mejorar la privacidad, las señales se cambian cada 15 minutos y una clave que crea las señales se cambia cada 24 horas.
Las señales se guardan en los registros del sistema a los que también tienen acceso las aplicaciones preinstaladas. Esos registros pueden contener el nombre del dispositivo, la dirección MAC y la identificación de publicidad recopilada de las otras aplicaciones.
«Lo que Google está diciendo es que estos registros nunca abandonan el dispositivo», dijo Reardon. «No pueden hacer esa afirmación, no saben si alguna de estas aplicaciones está recopilando los registros del sistema».
Reardon se comunicó con Google una vez que se encontró la falla de privacidad en la aplicación de rastreo de contactos de Android para informarlo al programa de recompensas de errores de Google. Recibió un correo electrónico que estipulaba que la falla de privacidad no era suficiente para que AppCensus recibiera el pago.
Sin embargo, parece algo atroz. Los usuarios preocupados por su seguridad física están sujetos a la perspectiva de una pérdida de seguridad de los datos. Con suerte, Google realmente está trabajando en esto: los usuarios no deberían tener que tomar esa decisión.
Siga leyendo para saber cómo se desarrolló Safe Blues Virtual Virus para rastrear COVID.