Afinal, o rastreamento de contatos Covid-19 no Android não é tão privado

Ilustração do artigo intitulado Acontece que o rastreamento de contatos no Android não é privado, afinal

foto: Florence Ion / Gizmodo

No início da pandemia, a Apple e o Google correram para ativar rastreamento de contato covid-19 em seus respectivos sistemas operacionais de smartphone. O recurso, que funciona em iOS e Android, foi projetado para ajudar as pessoas a determinar rapidamente se foram expostas ao vírus simplesmente ativando uma configuração de rastreamento de contato. Ambas as empresas tiveram prometido que os dados relevantes coletados de recursos, como onde você estava e quem foi aprovado, permaneceriam relativamente anônimos e apenas agências de saúde pública teriam acesso a essas informações.

Infelizmente, o oposto era verdadeiro para a versão Android da ferramenta de rastreamento covid-19. A marcação publicou um relatório sobre uma violação significativa de privacidade que permite que centenas de aplicativos pré-instalados oferecidos pelos principais fabricantes de Android acessem dados confidenciais. Aplicativos como o navegador Samsung e o MotoCare da Motorola têm acesso garantido aos registros do sistema para varreduras e relatórios de erros, onde os dados são armazenados.

As ferramentas de rastreamento de contatos funcionam trocando sinais Bluetooth anônimos com outros telefones que tenham seus recursos ativados. (No Android, você pode ligá-lo com um botão no menu de configurações do dispositivo.) Esses sinais mudam a cada 15 minutos para que os usuários individuais não sejam identificáveis, criados a partir de uma chave que é atualizada a cada 15 minutos. Os sinais gerados e recebidos pelo rastreamento de contato de um telefone Android são então registrados nos logs do sistema do dispositivo. É aqui que Samsung, Motorola, Huawei e outros grandes jogadores do Android têm acesso automático a esses dados.

AppCensus, uma empresa de segurança móvel, descobriu a falha ao testar o sistema de rastreamento de contatos do Android e iPhone sob um contrato com o Departamento de Segurança Interna dos Estados Unidos. A empresa descobriu que os registros apresentavam dados confidenciais, como se uma pessoa tivesse entrado em contato com alguém com teste positivo para covid-19. Os dados também continham informações como nome do dispositivo, endereço MAC e ID de publicidade, que os serviços do Google Play usam para personalizar anúncios.

O AppCensus afirma que o Google rejeitou repetidamente as preocupações da empresa quando levantou a questão em uma apresentação de fevereiro ao programa de recompensa de bugs do Google. “Esta correção é uma coisa de uma linha onde você exclui uma linha que registra informações confidenciais no log do sistema”, disse Joel Reardon, cofundador e chefe da perícia forense da AppCensus, ao The Markup. “Não tem impacto no programa, não muda o seu funcionamento”.

Por sua vez, o Google afirma que ninguém acessou esses logs.

“Com o sistema de notificação de exposição, nem Google, Apple ou outros usuários podem ver sua identidade e todas as correspondências de notificação de exposição ocorrem em seu dispositivo”, disse um porta-voz do Google. “Esses identificadores Bluetooth não revelam a localização do usuário ou fornecem qualquer outra informação de identificação, e não temos nenhuma indicação de que eles foram usados ​​de qualquer forma – ou que qualquer aplicativo estava. Mesmo consciente.”

O Google acrescentou que estava ciente do problema “onde as credenciais do Bluetooth estavam temporariamente acessíveis a certos aplicativos pré-instalados para fins de depuração”. Ele começou a lançar uma atualização para dispositivos Android há várias semanas e “será concluída nos próximos dias”. No entanto, não há muitas informações sobre como você pode verificar se você tem a atualização em seu dispositivo Android. O relatório também afirma que a falha não foi encontrada na versão iOS da estrutura de rastreamento de contato.

Durante a implantação, o Google teve publicamente prometido que os dados de rastreamento de contato necessários seriam armazenados localmente no dispositivo, em vez de enviados para a nuvem para processamento. O único momento em que os dados precisaram sair do telefone foi ao notificar o departamento de saúde pública que seu teste foi positivo, desde que você consentisse em compartilhar os resultados do seu teste. Na Califórnia, por exemplo, você usa o Notificação CA aplicativo para baixar os resultados do teste, então o status enviará uma mensagem de texto para verificação posterior.

Apesar das garantias do Google de que terceiros não acessaram nenhum dado confidencial, esses tipos de descobertas mancham a experiência do Android. As pessoas já estavam céticas em relação à funcionalidade, devido ao quão apressado o quadro era na época. Até eu ignorei minhas dúvidas iniciais, pensando que era um membro contribuinte e atencioso da sociedade, ativando-o no meu telefone.

O maior problema aqui é o que atormentou o Android desde seu início. Com tantos cozinheiros na cozinha, é difícil contabilizar todos esses chefs. A natureza de código aberto do Android é o que ajuda a plataforma a continuar a prosperar, mas também precisa ser fechada um pouco, pelo menos quando a saúde pública está em jogo.

About admin

Check Also

Em breve, o Microsoft Edge permitirá que você envie guias entre o Windows 10 e o Android

O navegador Edge da Microsoft rapidamente se tornou um dos navegadores de desktop mais populares. …

Leave a Reply

Your email address will not be published. Required fields are marked *