Додаток для відстеження контактів хворих коронавірусом зливав дані іншим програмам. Про це в своєму блозі розповіли експерти агентства AppCensus.
Представники компанії заявили, що віртуальний журнал, який збирає дані про контакти з хворими COVID-19, міг розкривати приватну інформацію. За словами фахівця AppCensus Джоела Рирдон (Joel Reardon), проблема була виявлена в додатку трекера на Android, при цьому на iOS подібної уразливості не зафіксували.
Створена система повідомлень про ризик інфікування COVID-19 за допомогою Bluetooth збирає знеособлені дані про контакти власника смартфона з іншими користувачами. У разі, якщо в майбутньому один з цих користувачів захворіє коронавірусом, він може повідомити про це через сервіс, і тоді люди, що зустрічалися з ним отримають повідомлення. Як з’ясували експерти AppCensus, додаток трекера на Android дозволяв ділитися приватною інформацією про інфікованих з іншими програмами.
Як розповів Джоел Рирдон, вразливість була помічена ще в лютому, про що фахівець негайно повідомив Google. При цьому експерт вважає, що проблему можна вирішити видаленням пари рядків коду, проте інженери Google не поспішали закривати системний пролом: «Є просте і очевидне рішення, і я був в шоці, коли побачив, що вони все ще не виправили це».
Рирдон пояснив, що на телефонах під управлінням Android інформація про контакти з іншими людьми записується в спеціальний розділ пам’яті девайса, недоступний для інших програм. Однак деякі додатки отримують максимальні системні привілеї та можуть збирати навіть закриті дані.
Google вже відреагувала на повідомлення AppCensus. Представник компанії Хосе Кастаньеда (José Castañeda) заявив, що фахівці вже працюють над проблемою і розсилають користувачам виправляючі баг патчі безпеки.