Google, dans une rare tournure d’événements, s’est associé à un autre grand technicien firme Apple pour proposer un traçage des contacts Covid-19 axé sur la confidentialité au plus fort de la pandémie en 2020. À l’époque, Google avait garanti aux utilisateurs qu’une chose que son API ferait serait de permettre aux gouvernements et aux autorités sanitaires de retrouver les utilisateurs qui auraient pu être en contact avec le virus-le tout sans enfreindre la vie privée des utilisateurs, en révélant des données de santé clés à des parties privées, etc. Compte tenu des implications de la surveillance de masse, il s’agissait d’un grand pas-pour une entreprise qui a été jonchée de poursuites pour conduite anticoncurrentielle, pratiques de protection de la vie privée, etc. Désormais, un nouveau rapport affirme que même après des affirmations aussi élevées, un bogue idiot et un refus de le reconnaître auraient pu permettre la fuite de données très privées que Google cherchait à protéger contre des efforts arbitraires et irréfléchis de recherche de contacts.
Le rapport, provenant de The Markup en partenariat avec les fondateurs de la société d’analyse de la confidentialité mobile AppCensus , indique une faille d’une ligne dans l’API de suivi des contacts Google Covid-19 qui a amené les applications basées sur cette API à enregistrer des données utilisateur sensibles et privées dans le journal système d’un appareil. La principale vulnérabilité ici est que ce journal système est également accessible par tout un tas d’applications système préinstallées-le rapport affirme que plus de 400 applications système ont accès aux journaux de données, qui à leur tour peuvent lire les données d’ici et les relayer vers les serveurs de l’entreprise. pour les analyses et les diagnostics.
Joel Reardon, co-fondateur et responsable de la criminalistique chez AppCensus, a déclaré à The Markup que les types de données privées incluses dans les journaux système des appareils Android comme à la suite de cette faille comprenait «des données indiquant si une personne était en contact avec une personne qui a été testée positive pour Covid-19 et pourraient contenir des informations d’identification telles que le nom d’un appareil, l’adresse MAC et l’identifiant publicitaire d’autres applications.» Ceci, cependant, est un défaut en théorie , bien que grave un-alors qu’aucune application système préinstallée n’a récupéré ces données et relayées aux serveurs de l’entreprise dans des cas connus, les chercheurs affirment que rien ne les empêche réellement de le faire.
Ce qui est également alarmant, c’est la façon dont Google a géré la situation. Selon Serge Egelman, fondateur d’AppCensus, après que la firme a informé Google de la faille qu’elle avait trouvée, la société a apparemment choisi de ne rien faire. Cependant, un porte-parole de Google a affirmé qu’un correctif corrigeant cette vulnérabilité a été déployé par étapes sur les appareils Android à travers le monde et sera terminé”dans les prochains jours”.
Les chercheurs ont en outre confirmé qu’ils ne pouvaient trouver aucune telle faille dans l’API de traçage des contacts d’Apple pour ses iPhones, qui ont également été utilisés par divers organes directeurs à travers le monde. Étant donné que la recherche des contacts Covid-19 avait déjà de sérieuses implications pour la vie privée au départ, il est un peu surprenant que Google ait toujours choisi de traiter le problème de manière aussi absurde-et non avec le genre d’urgence que l’on pourrait attendre d’un entreprise déjà confrontée à des allégations de confidentialité suffisamment graves.
Lire toutes les Dernières actualités et Dernières nouvelles ici