Wednesday, October 20, 2021
HomeSocial Media & InternetAplicativos de rastreamento de contatos: telefones Android vazavam dados confidenciais, encontre pesquisadores

Aplicativos de rastreamento de contatos: telefones Android vazavam dados confidenciais, encontre pesquisadores

A API desenvolvida pela Apple e pelo Google permite que os governos criem aplicativos descentralizados de rastreamento de contatos que dependem de sinais Bluetooth.

Imagem: Luis Alvarez / DigitalVision / Getty Images

Centenas de aplicativos de terceiros em dispositivos Android tiveram acesso a dados confidenciais registrados por aplicativos de rastreamento de contato construídos no Google e API da Apple, de acordo com pesquisadores de segurança.

AppCensus, uma start-up com sede nos EUA especializada em analisar as práticas de privacidade de aplicativos Android, recebeu quase US $ 200.000 do Departamento de Segurança Interna no início deste ano para testar e validar a confiabilidade dos aplicativos de rastreamento de contatos.

Os pesquisadores da empresa descobriram que telefones Android registrando dados de aplicativos usando o Google e o Sistema de Notificações de Exposição (ENS) da Apple estavam gravando informações de rastreamento de contato importantes nos registros de sistema do dispositivo – que são usados ​​para fins de depuração e normalmente é onde os aplicativos recebem informações sobre o usuário análises e relatórios de falhas.

VEJO: Smartphones 5G: uma folha de dicas (PDF grátis) (TechRepublic)

Nem todos os aplicativos podem ler logs do sistema; mas no Android, o Google permite que alguns fabricantes de hardware, operadoras de rede e parceiros comerciais pré-instalem aplicativos “privilegiados”. Parte do privilégio é o acesso aos logs do sistema.

Em qualquer estoque do Xiaomi Redmi Note 9, por exemplo, 54 aplicativos têm permissão para ler logs do sistema, enquanto este é o caso de 89 aplicativos em um Samsung Galaxy A11. “Eles agora estão recebendo informações médicas e outras informações confidenciais dos usuários como resultado da implementação do Google”, disse o co-fundador da AppCensus e líder forense de Joel Reardon em uma postagem de blog.

Google e Apple lançaram em conjunto o ENS no ano passado, como uma forma de ajudar as autoridades de saúde ao redor do mundo na construção de aplicativos de rastreamento de contatos compatíveis com o imperativo de privacidade que, de acordo com ambas as empresas, sustenta os ecossistemas Android e iOS.

A API desenvolvida pela Apple e pelo Google permite que os governos criem aplicativos descentralizados de rastreamento de contatos que dependem de sinais Bluetooth.

Os dispositivos equipados com o aplicativo emitem identificadores anônimos que mudam periodicamente, chamados de identificadores de proximidade rotativa (RPIs), que são transmitidos por Bluetooth para que possam ser “ouvidos” pelos telefones ao redor que também estão usando o aplicativo. Além de transmitir RPIs, portanto, os aparelhos também registram todos os RPIs que ouvem.

Se, posteriormente, o teste de um usuário for positivo para COVID-19, as autoridades de saúde emitirão uma lista de todos os RPIs anexados ao telefone desse usuário. Em cada dispositivo, é feita uma comparação entre a lista de RPIs infecciosos e aqueles registrados pelo aplicativo, e uma notificação é emitida para o usuário se um contato de risco for detectado.

Toda a combinação é realizada localmente no telefone e, em princípio, nenhum dado deve sair do dispositivo, a menos que um usuário decida compartilhar com os serviços de saúde que seu teste foi positivo para COVID-19. É por isso que o Google e a Apple chamam seu sistema de descentralizado e argumentaram que o ENS protege a privacidade por design.

Um grande número de usuários já baixou aplicativos de rastreamento de contatos que foram criados graças ao ENS da Apple e do Google. No Reino Unido, o aplicativo NHS COVID-19 foi baixado mais de 21 milhões de vezes, por exemplo, enquanto o aplicativo CoronaWarn da Alemanha é usado por mais de 25 milhões de residentes.

As descobertas do AppCensus agora mostram que a promessa de privacidade feita pelos dois gigantes da tecnologia tem algumas deficiências. Reardon e sua equipe descobriram que os RPIs que são transmitidos e os que são ouvidos podem ser encontrados nos logs do sistema dos telefones Android – e para os RPIs que foram ouvidos, o dispositivo também registra o endereço MAC Bluetooth atual do dispositivo de envio.

“Claro, a informação tem que ser registrada em algum lugar para fazer o rastreamento de contato, mas isso deve ser internamente no ENS”, Gaetan Leurent, pesquisador do Instituto Nacional Francês de Pesquisa em Ciência e Tecnologia Digital (INRIA), que não participou da pesquisa, conta ZDNet. “É preocupante que essas informações tenham sido armazenadas no log do sistema. Não há um bom motivo para colocá-las lá.”

Embora os RPIs e os endereços MAC Bluetooth sejam aleatórios e anônimos, o AppCensus identificou várias maneiras de usar e calcular os dados para realizar ataques de privacidade.

Combinados com diferentes conjuntos de dados, os RPIs podem ser usados ​​para descobrir se um usuário testou positivo para COVID-19, se ele esteve em contato com uma pessoa infectada ou mesmo – com acesso a vários registros do sistema de usuários – se duas pessoas encontraram-se.

“Todo o sistema de rastreamento de contatos deve preservar a privacidade e evitar exatamente esse tipo de vazamento de informações”, diz Leurent. “Portanto, isso realmente derrota toda a proteção que deveria estar na base deste protocolo.”

Nesse caso, a correção é fácil: basta que o Google pare o ENS de registrar dados no registro do sistema do dispositivo. Reardon enfatizou que o problema não era uma falha inerente ao rastreamento de contatos, mas sim um erro de implementação no sistema.

VEJO: O futuro dos wearables: por que seu smartwatch pode em breve ser o gadget favorito do seu médico

Ainda assim, o AppCensus relata que, quando os pesquisadores revelaram o problema ao Google, o gigante das buscas não reconheceu ou corrigiu o problema. Após 60 dias, os analistas decidiram seguir as próprias recomendações do Google sobre a recompensa por bugs e tornar suas descobertas públicas.

Um porta-voz do Google disse à ZDNet: “Fomos notificados de um problema em que os identificadores Bluetooth estavam temporariamente acessíveis a alguns aplicativos pré-instalados para fins de depuração. Imediatamente após sermos informados desta pesquisa, iniciamos o processo necessário para revisar o problema, considere mitigações e, finalmente, atualizar o código. ”

“Esses identificadores Bluetooth não revelam a localização de um usuário ou fornecem qualquer outra informação de identificação e não temos nenhuma indicação de que eles foram usados ​​de qualquer forma – nem que qualquer aplicativo estava ciente disso.”

De acordo com o Google, o lançamento da atualização para dispositivos Android começou há várias semanas e será concluído nos próximos dias.

Para Leurent, quem tem realizou uma extensa pesquisa sobre as questões de privacidade que vêm com aplicativos de rastreamento de contato, isso só se relaciona com um debate mais amplo que precisa ser realizado sobre os benefícios e riscos da tecnologia.

As publicações anteriores do pesquisador mostraram que, independentemente da implementação, haverá inevitavelmente um risco de privacidade quando se trata do uso de tecnologias digitais para rastreamento de contatos. “Agora, se isso é um grande negócio ou não, é algo a ser discutido”, diz ele, “mas acho que realmente precisamos de um debate para avaliar esses riscos e benefícios. Para aplicativos de rastreamento de contato, nunca tivemos essas discussões .

“Esses aplicativos já são usados ​​há um ano e ainda temos muito poucas informações sobre como eles funcionam bem. Minha intuição é que os benefícios não são muito altos.”

VEJO: Pontos de acesso Wi-Fi, medidores de poluição, localizadores de tiros: como os postes de luz estão tornando as cidades mais inteligentes

Pesquisa publicada por cientistas do Instituto Alan Turing e da Universidade de Oxford, no Reino Unido, recentemente mostrou resultados preliminares encorajadores para o aplicativo NHS COVID-19, com cálculos experimentais concluindo que a tecnologia potencialmente preveniu até 600.000 casos positivos em todo o país.

No entanto, os próprios pesquisadores admitiram que obter um entendimento completo da eficiência do aplicativo foi cientificamente difícil, devido aos vários fatores que podem ter influenciado os resultados.

Os críticos, por outro lado, têm afirmado repetidamente que os aplicativos de rastreamento de contato carecem de precisão e não mostram benefícios relevantes, a menos que haja aceitação entre a vasta maioria da população.

source – www.zdnet.com

Sandy J
Hi thanks for visiting Asia First News, I am Sandy I will update the daily World and Music News Here, for any queries related to the articles please use the contact page to reach us. :-
ARTIGOS RELACIONADOS

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Mais popular

x