Photo : Florence Ion / GizmodoAu début de la pandémie, Apple et Google se sont efforcés d'activer le traçage des contacts covid-19 sur leurs systèmes d'exploitation de smartphone respectifs. La fonctionnalité, qui fonctionne sur iOS et Android, a été conçue pour aider les gens à déterminer rapidement s'ils ont été exposés au virus en activant simplement un paramètre de suivi des contacts. Les deux sociétés avaient promis que les données pertinentes collectées à partir des fonctionnalités, comme l'endroit où vous étiez et les personnes que vous aviez croisées, resteraient relativement anonymes et que seules les agences de santé publique auraient accès à ces informations.

Malheureusement, le contraire était vrai pour la version Android de l'outil de traçage covid-19. The Markup a publié un rapport faisant état d'une faille de confidentialité importante qui permet à des centaines d'applications préinstallées proposées par les principaux fabricants d'Android d'accéder à des données sensibles. Des applications telles que le navigateur Samsung et le MotoCare de Motorola ont un accès garanti aux journaux système pour les analyses et les rapports d’incident, où les données sont stockées.

Le suivi des contacts Covid-19 sur Android n'est pas si privé après tout

Les outils de recherche de contacts fonctionnent en échangeant des signaux Bluetooth anonymisés avec d'autres téléphones dont la capacité est activée. (Sur Android, vous pouvez l'activer à l'aide d'un interrupteur dans le menu des paramètres de l'appareil.) Ces signaux changent toutes les 15 minutes afin que les utilisateurs individuels ne soient pas identifiables, créés à partir d'une clé actualisée toutes les 24 heures. Les signaux générés et reçus par le suivi des contacts d'un téléphone Android sont ensuite enregistrés dans les journaux système de l'appareil. C'est là que Samsung, Motorola, Huawei et d'autres grands acteurs Android ont un accès automatique à ces données.

AppCensus, une société de sécurité mobile, a découvert la faille lors du test du système de suivi des contacts Android et iPhone dans le cadre d'un contrat avec le département américain de la Sécurité intérieure. L'entreprise avait constaté que les journaux présentaient des données sensibles, comme si une personne était en contact avec une personne qui avait été testée positive pour la covid-19. Les données contenaient également des informations telles que le nom de l'appareil, l'adresse MAC et l'identifiant publicitaire, ce que les services Google Play utilisent pour personnaliser les annonces.

AppCensus affirme que Google a rejeté à plusieurs reprises les préoccupations de l'entreprise lorsqu'elle a soulevé le problème dans une soumission en février au programme de prime aux bogues de Google. «Ce correctif est une chose sur une seule ligne où vous supprimez une ligne qui enregistre les informations sensibles dans le journal système», a déclaré Joel Reardon, cofondateur et responsable de la criminalistique d'AppCensus, à The Markup. "Cela n'a aucun impact sur le programme, cela ne change pas son fonctionnement."

G / O Media peut obtenir une commission

De son côté, Google soutient que personne n'a accédé à ces journaux.

"Avec le système de notification d'exposition, ni Google, Apple, ni les autres utilisateurs ne peuvent voir votre identité et toutes les correspondances de notification d'exposition se produisent sur votre appareil", a déclaré un porte-parole de Google. "Ces identifiants Bluetooth ne révèlent pas l'emplacement d'un utilisateur ou ne fournissent aucune autre information d'identification et nous n'avons aucune indication qu'ils ont été utilisés de quelque manière que ce soit - ni qu'aucune application en était même consciente."

Google a ajouté qu'il était conscient du problème "où les identifiants Bluetooth étaient temporairement accessibles à certaines applications préinstallées à des fins de débogage." Il a commencé à déployer une mise à jour sur les appareils Android depuis plusieurs semaines et "sera terminée dans les prochains jours". Cependant, il n'y a pas beaucoup d'informations sur la façon dont vous pouvez vérifier si vous avez la mise à jour sur votre appareil Android. Le rapport indique également que la faille n'a pas été trouvée dans la version iOS du cadre de suivi des contacts.

puis l'État vous envoie un SMS pour une vérification plus approfondie.

Malgré les assurances de Google selon lesquelles des tiers n'ont accédé à aucune donnée sensible, ces types de découvertes ternissent l'expérience Android. Les gens étaient déjà sceptiques quant à la fonctionnalité, compte tenu de la précipitation du cadre à l'époque. Même moi, j'ai ignoré mes doutes initiaux, pensant que j'étais un membre contribuant et attentionné de la société en l'activant sur mon téléphone.

Le problème le plus important ici est celui qui tourmente Android depuis ses débuts. Avec autant de cuisiniers dans la cuisine, il est difficile de rendre compte de tous ces chefs. La nature open-source d'Android est ce qui aide la plate-forme à continuer de prospérer, mais il y a également lieu de la fermer un peu, du moins lorsque la santé publique est en jeu.