TeamQuest Blog

Ile są warte obietnice informatycznych gigantów

Ile są warte obietnice informatycznych gigantów

Marcin Sarna , 28.04.2021 r.

Google obiecało, że aplikacja do śledzenia kontaktów jest całkowicie prywatna - ale tak nie było.

Covid ułatwił śledzenie?

Kiedy Google i Apple wprowadziły ich oprogramowanie do śledzenia kontaktów w ramach zwalczania Covid-19 w kwietniu 2020 roku, obie firmy uspokajały ludzi, którzy martwili się udostępnianiem prywatnych informacji zdrowotnych dużym korporacjom. Zapewniały, że dane generowane przez aplikacje będą anonimowe i nigdy nie zostaną udostępnione nikomu poza publicznymi organami odpowiedzialnymi za zdrowie publiczne. Zresztą takie obietnice słyszymy często i z wielu stron.

Od tego czasu miliony ludzi pobrały aplikacje do śledzenia kontaktów opracowane na podstawie frameworków udostępnionych przez Apple i Google. Na przykład aplikacja National Health Services w Wielkiej Brytanii ma co najmniej 16 milionów użytkowników a Departament Zdrowia Wirginii odnotował, że ponad dwa miliony mieszkańców korzysta z aplikacji COVIDWISE.

Google długo nie reagowało i ciągle czekamy na poprawkę

Eksperci z firmy AppCensus, zajmującej się analizą prywatności, powiadomili Google o zbyt szerokim dostępie do danych covidowych na Androidzie już w lutym tego roku i Google nie zareagowało. AppCensus testował system w ramach kontraktu z Departamentem Bezpieczeństwa Krajowego Stanów Zjednoczonych. Firma nie znalazła podobnych problemów z wersją frameworka na iPhone'a. Joel Reardon z AppCensus stwierdził, że:

Wystarczyłoby usunąć jeden wiersz z kodu, który rejestruje poufne informacje w logu systemowym. Nie miałoby to żadnego wpływu na program, nie zmieniłby się sposób jego działania. To tak oczywista poprawka, a ja byłem zdumiony, że nie było to postrzegane w ten sposób.
Zostaliśmy powiadomieni o problemie polegającym na tym, że identyfikatory Bluetooth były tymczasowo dostępne dla określonych aplikacji na poziomie systemu do celów debugowania i natychmiast zaczęliśmy wprowadzać poprawkę, aby rozwiązać ten problem – twierdzi z kolei rzecznik Google José Castañeda. Jego zdaniem wdrażanie tej aktualizacji na urządzenia z Androidem rozpoczęło się kilka tygodni temu i zostanie zakończone w najbliższych dniach.

Senior IT Rekruter 7000 - 10000 PLN

Warszawa
Aplikuj

Senior .NET Core Developer

Praca zdalna
Aplikuj

Młodszy Inżynier wdrożeń systemów IT

Kraków
Aplikuj

Tester Manualny

Warszawa
Aplikuj

IT Project Manager

Warszawa
Aplikuj

Wszystko odczytasz z logów

Problem, jak powiedział Reardon, polega na tym, że setki preinstalowanych na urządzeniach z Androidem aplikacji, takich jak przeglądarka Samsung czy MotoCare firmy Motorola, mają dostęp do potencjalnie poufnych informacji, które aplikacje śledzące kontakty przechowują w logach systemowych. Jest to pośrednio skutek tego w jaki sposób wstępnie zainstalowane aplikacje otrzymują informacje o danych analitycznych użytkowników i raporty o awariach.

Narzędzie do śledzenia kontaktów działa na zasadzie wymiany anonimowych sygnałów Bluetooth z innymi telefonami wyposażonymi w aplikację do śledzenia kontaktów. Sygnały te są zmieniane co 15 minut, aby trudniej było kogoś zidentyfikować i są tworzone z klucza, który zmienia się co 24 godziny. Generowane i odbierane sygnały są następnie zapisywane w logach systemowych telefonu. A badania wykazały, że ponad 400 preinstalowanych aplikacji na telefonach zbudowanych przez Samsunga, Motorolę, Huawei i inne firmy ma uprawnienia do odczytywania logów systemowych na potrzeby raportów o awariach i do celów analitycznych.

Co można odczytać z logów?

AppCensus wykrył, że logi systemowe zawierały dane o tym, czy dana osoba była w kontakcie z kimś, kto uzyskał pozytywny wynik testu na obecność COVID-19 i informacje identyfikujące, takie jak nazwa urządzenia, adres MAC i identyfikator reklamowy. Teoretycznie te informacje mogą zostać odczytane przez preinstalowane aplikacje i przesłane na serwery ich producentów. Nie odkryto wprawdzie, że jakiekolwiek aplikacje faktycznie gromadziły te dane, ale nic nie stoi na przeszkodzie, aby to zrobić. Więc, zdaniem Reardona:

Google mówi, że te logi nigdy nie opuszczają urządzenia. Tymczasem nie mogą tego twierdzić bo nie wiedzą, czy któraś z tych aplikacji nie zbiera czasem logów na własne potrzeby.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej