Gevoelige data van corona-apps is toegankelijk voor voorgeïnstalleerde apps op Androidtoestellen, waarmee een privacybelofte van Google wordt gebroken. Het techbedrijf, dat al meer dan zestig dagen van het probleem weet, is naar eigen zeggen bezig met het uitrollen van een oplossing voor de bug.
Onderzoekers van AppCensus waarschuwden Google op 19 februari van dit jaar voor het probleem en gaven het techbedrijf zestig dagen de tijd om met een oplossing te komen. Nu de bug volgens hen nog steeds aanwezig is heeft AppCensus de details openbaar gemaakt. De onderzoekers deden voor het Amerikaanse ministerie van Homeland Security onderzoek naar het Google-Apple Exposure Notification (GAEN) framework.
Deze service van Apple en Google zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth corona-apps gebruikmaken. Via de apps kunnen gebruikers hun contacten bijhouden en worden gewaarschuwd wanneer ze met een coronapatiënt in contact zijn gekomen of laten weten wanneer ze zelf besmet zijn geraakt. Googles implementatie van GAEN logt belangrijke informatie in de systeemlog, waar honderden third-party apps toegang toe hebben. Het probleem speelt niet bij Apples implementatie voor iOS.
Corona-apps die van het GAEN-framework gebruikmaken versturen via bluetooth rolling proximity identifiers. Deze identifiers kunnen door andere app-gebruikers worden ontvangen en opgeslagen. Om de privacy van gebruikers te beschermen worden de uitgezonden identifiers elke vijftien minuten veranderd. De corona-app downloadt dagelijks een lijst met identifiers van besmette personen. Vervolgens kijkt de app lokaal of de gebruiker deze identifiers op het toestel heeft staan, wat een besmet contact kan suggeren.
Hierbij stelden Apple en Google dat de identifiers die de gebruiker tegenkomt nooit zijn toestel zullen verlaten. De gebruiker ontvangt dagelijks alleen een lijst met identifiers van besmette personen, maar niemand anders dan de gebruiker komt te weten of hij contact met een besmet persoon heeft gehad. In het geval van Googles implementatie van GAEN worden alle identifiers van de gebruiker zelf en die hij allemaal tegenkomt naar de systeemlog geschreven. Voor de identifiers van andere toestellen logt Google ook het bluetooth mac-adres van het zendende toestel.
Google geeft voorgeïnstalleerde Android-apps van bijvoorbeeld fabrikanten, telecomproviders en hun commerciële partners toegang tot de systeemlog. Zo kunnen deze apps zien of de gebruiker met een besmet persoon in contact is geweest of zelf besmet is. Voorgeïnstalleerde Android-apps kunnen ook toegang tot het e-mailadres en telefoonnummer van het toestel hebben en zo de gebruiker identificeren. De onderzoekers waarschuwen dat apps die de logbestanden van meerdere gebruikers kunnen lezen ook kunnen achterhalen of bepaalde gebruikers op een bepaalde tijd en locatie bij elkaar waren.
"De oplossing is in één regel te doen, waarbij je een regel verwijdert die gevoelige informatie naar de systeemlog schrijft. Het heeft geen gevolgen voor het programma en verandert niet hoe het werkt", zegt Joel Reardon van AppCensus tegenover The Markup. "Het is zo'n duidelijke oplossing dat ik verbijsterd was dat het niet zo wordt gezien."
Google stelt in een verklaring dat het enkele weken geleden begonnen is met het uitrollen van een oplossing naar Androidtoestellen en dat dit binnen de komende dagen zal zijn afgerond. Volgens het techbedrijf zijn er geen aanwijzingen dat er misbruik van het probleem is gemaakt. De onderzoekers van AppCensus stellen dat het probleem nog altijd niet is opgelost en besloten daarom de details openbaar te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.