Google, in una rara serie di eventi, ha unito le forze con altri grandi tecnici azienda Apple per portare avanti un tracciamento dei contatti Covid-19 incentrato sulla privacy al culmine dello scoppio della pandemia nel 2020. All’epoca Google aveva garantito agli utenti che una cosa che la sua API avrebbe fatto era consentire ai governi e alle autorità sanitarie di rintracciare gli utenti che potevano essere entrati in contatto con il virus-il tutto senza violare la privacy degli utenti, rivelando dati sanitari chiave a privati e così via. Date le implicazioni della sorveglianza di massa, questa è stata una grande mossa-per un’azienda che è stata disseminata di cause legali che presumevano condotta anticoncorrenziale, pratiche di uccisione della privacy e così via. Ora, un nuovo rapporto afferma che anche dopo affermazioni così alte, uno sciocco bug e il rifiuto di riconoscerlo avrebbero potuto consentire la fuga di dati molto privati che Google cercava di proteggere da sforzi arbitrari e sconsiderati di tracciamento dei contatti.
Il rapporto, proveniente da The Markup in collaborazione con i fondatori della società di analisi della privacy mobile AppCensus , afferma un difetto di una riga nell’API di tracciamento dei contatti di Google Covid-19 che ha fatto sì che le app basate su questa API registrassero dati utente sensibili e privati nel registro di sistema di un dispositivo. La vulnerabilità principale qui è che questo registro di sistema è accessibile anche da un intero gruppo di app di sistema preinstallate: il rapporto afferma che oltre 400 app di sistema hanno accesso ai registri di dati, che a loro volta possono leggere i dati da qui e inoltrare ai server dell’azienda per analisi e diagnostica.
Joel Reardon, co-fondatore e capo della scientifica presso AppCensus, ha dichiarato a The Markup che i tipi di dati privati inclusi nei log di sistema del dispositivo Android come un risultato di questo difetto includeva”dati sull’eventualità che una persona fosse in contatto con qualcuno risultato positivo al Covid-19 e che potesse contenere informazioni di identificazione come il nome di un dispositivo, l’indirizzo MAC e l’ID pubblicitario di altre app”. Questo, tuttavia, è un difetto in teoria , anche se un grave uno: sebbene nessuna app di sistema preinstallata abbia acquisito questi dati e inoltrati ai server dell’azienda in casi noti, i ricercatori affermano che non c’è nulla che impedisca loro di farlo.
Anche la cosa allarmante è il modo in cui Google ha affrontato la situazione. Secondo Serge Egelman, fondatore di AppCensus, dopo che l’azienda ha informato Google del difetto che aveva trovato, la società apparentemente ha scelto di non fare nulla al riguardo. Tuttavia, un portavoce di Google ha affermato che una patch che risolve questa vulnerabilità è stata implementata in fasi per i dispositivi Android in tutto il mondo e sarà completata”nei prossimi giorni”.
I ricercatori hanno inoltre confermato di non essere riusciti a trovare alcun difetto di questo tipo nell’API di tracciamento dei contatti di Apple per i suoi iPhone, anch’essa utilizzata da vari organi di governo in tutto il mondo. Dato che il tracciamento dei contatti Covid-19 aveva già gravi implicazioni sulla privacy per cominciare, è un po’sorprendente che Google abbia ancora scelto di affrontare il problema in modo così apatico-e non con il tipo di urgenza che ci si aspetterebbe da un azienda che sta già affrontando accuse di privacy abbastanza gravi.
Leggi tutte le Ultime notizie e Ultime notizie qui
