Google, trong một sự kiện hiếm hoi, đã bắt tay với các công ty công nghệ lớn công ty Apple cung cấp Covid-19 theo dõi liên hệ tập trung vào quyền riêng tư nỗ lực khi đại dịch bùng phát vào đỉnh điểm vào năm 2020. Hồi đó, Google đã đảm bảo với người dùng rằng một điều mà API của nó sẽ làm là cho phép các chính phủ và cơ quan y tế theo dõi những người dùng có thể đã tiếp xúc với vi-rút-tất cả đều không vi phạm quyền riêng tư của người dùng, tiết lộ dữ liệu sức khỏe quan trọng cho các bên riêng tư, v.v. Với những tác động của việc giám sát hàng loạt, đây là một động thái lớn-đối với một công ty đã bị rải rác với các vụ kiện cáo buộc hành vi chống cạnh tranh, các hành vi giết chết quyền riêng tư, v.v. Giờ đây, một báo cáo mới tuyên bố rằng ngay cả sau những tuyên bố cao như vậy, một lỗi ngớ ngẩn và việc từ chối thừa nhận nó có thể đã cho phép rò rỉ dữ liệu rất riêng tư mà Google tìm cách bảo vệ trước những nỗ lực theo dõi liên hệ tùy tiện và thiếu suy nghĩ.
Báo cáo do The Markup hợp tác với những người sáng lập công ty phân tích quyền riêng tư trên thiết bị di động Điều tra ứng dụng , nêu một lỗ hổng một dòng trong API theo dõi địa chỉ liên hệ của Google Covid-19 khiến các ứng dụng dựa trên API này ghi dữ liệu người dùng nhạy cảm và riêng tư vào nhật ký hệ thống của thiết bị. Lỗ hổng quan trọng ở đây là nhật ký hệ thống này cũng có thể được truy cập bởi toàn bộ ứng dụng hệ thống được cài đặt sẵn-báo cáo tuyên bố rằng hơn 400 ứng dụng hệ thống có quyền truy cập vào nhật ký dữ liệu, từ đó có thể đọc dữ liệu từ đây và chuyển tiếp đến các máy chủ của công ty để phân tích và chẩn đoán.
Joel Reardon, người đồng sáng lập và trưởng bộ phận pháp y tại AppCensus, nói với The Markup rằng các loại dữ liệu cá nhân có trong nhật ký hệ thống thiết bị Android như kết quả của lỗ hổng này bao gồm”dữ liệu về việc một người có tiếp xúc với người có kết quả xét nghiệm dương tính với Covid-19 hay không và có thể chứa thông tin nhận dạng như tên thiết bị, địa chỉ MAC và ID quảng cáo từ các ứng dụng khác.”Tuy nhiên, đây là một lỗ hổng trên lý thuyết , mặc dù là một sai sót nghiêm trọng một-trong khi không có ứng dụng hệ thống được cài đặt sẵn nào thu thập dữ liệu này và chuyển tiếp đến máy chủ của công ty trong các trường hợp đã biết, các nhà nghiên cứu khẳng định rằng không có gì thực sự ngăn họ làm như vậy.
Điều đáng báo động nữa là cách Google xử lý tình huống này. Theo Serge Egelman, người sáng lập AppCensus, sau khi công ty thông báo cho Google về lỗ hổng mà họ đã tìm thấy, công ty dường như đã chọn không làm gì với nó. Tuy nhiên, người phát ngôn của Google tuyên bố rằng bản vá sửa lỗ hổng bảo mật này đã được tung ra theo từng giai đoạn cho các thiết bị Android trên toàn thế giới và sẽ được hoàn thành”trong những ngày tới”.
Các nhà nghiên cứu xác nhận thêm rằng họ không thể tìm thấy lỗ hổng nào như vậy trong API theo dõi liên hệ của Apple cho iPhone của họ, API này cũng đã được các cơ quan quản lý khác nhau trên thế giới sử dụng. Cho rằng việc theo dõi địa chỉ liên hệ của Covid-19 đã có những tác động nghiêm trọng đến quyền riêng tư ngay từ đầu, có một chút ngạc nhiên khi Google vẫn chọn cách giải quyết vấn đề theo cách thiếu kinh nghiệm như vậy-chứ không phải với mức độ khẩn cấp mà người ta mong đợi từ một công ty đã phải đối mặt với các cáo buộc đủ nghiêm trọng về quyền riêng tư.
Đọc tất cả Tin tức mới nhất và Tin nóng tại đây
