Исследователи безопасности из AppCensus нашли в Android баг, позволяющий встроенным приложениям собирать конфиденциальные данные о контактах с COVID-19.

Сообщается, что компания нашла уязвимость ещё в феврале, тогда сообщила о ней в Google. Однако с тех пор «корпорация добра» так и не исправила ошибку.

Джоэл Рирдон, соучредитель и руководитель отдела криминалистики AppCensus, заявил, что исправить проблему очень легко, и неясно, почему Google этого до сих пор не сделала. На что в компании сейчас ответили:

Нас уведомили о проблеме, при которой идентификаторы Bluetooth были временно доступны для определенных приложений системного уровня для целей отладки, и мы немедленно начали развертывание исправления для решения этой проблемы.

— Хосе Кастаньеда, представитель Google

Система уведомлений о контактах, разработанная Apple и Google, работает путем отправки анонимных сигналов Bluetooth между смартфоном пользователя и другими телефонами, на которых система активирована. Затем, если кто-то, использующий приложение, вносит положительный результат на COVID-19, на соседние устройства отправляются соответствующие сигналы, зарегистрированные в памяти телефона.

На гаджетах Android данные отслеживания контрактов записываются в привилегированную системную память, где они недоступны для большинства программ. Но приложения, которые предустановлены производителями, получают особые системные привилегии, которые позволяют им получать доступ к этим журналам, подвергая риску конфиденциальные данные отслеживания контактов.

По словам Рирдона, на данный момент нет никаких свидетельств того, что какие-либо приложения действительно собирали эти данные.