El sistema de notificaciones de exposición al Covid-19 de Google y Apple presenta un fallo en la versión de Android que permitió que aplicaciones preinstaladas en el dispositivo móvil pudieran acceder a datos sensibles del usuario.
El sistema desarrollado por Google y Apple está integrado en una aplicación desarrollada por el gobierno y las autoridades sanitarias correspondientes en cada país. Una vez instalada en el móvil, y aceptado el sistema, genera un identificador aleatorio que cambia cada varios minutos, y que intercambia con otros móviles próximos a través de Bluetooth en segundo plano.
El fin de este sistema es, por una parte, comprobar de forma periódica si el usuario estuvo cerca de personas diagnosticadas con Covid-19, en cuyo caso recibirá una notificación con instrucciones sobre cómo proceder. Por otra, mantener la privacidad de las personas que utilicen la ´app´, y los datos están anonimizados y protegidos por un sistema de balizas y claves que no identifica al usuario ni guarda la ubicación.
Sin embargo, en Android se identificó un problema de privacidad que permitió que las aplicaciones preinstaladas, que pueden tener más permisos que las aplicaciones que el usuario descarga de la Play Store, pudieran acceder a información sensible, como la actualidad de salud, la proximidad del usuario a una persona que se hubiera contagiado o incluso llegar a identificarlo.
El problema se debe a que en Android, los identificadores que permiten el seguimiento de contactos se registran en la memoria del sistema, a la que normalmente no pueden acceder las aplicaciones, pero sí las que tienen privilegios adicionales como las preinstaladas por los fabricantes en los móviles.
Dichas ´apps´ pueden leer los registros del sistema (system logs), como indicaron desde AppCensus, tras analizar su comportamiento. Los analistas de esta firma de análisis notificaron su descubrimiento en febrero a Google, según cuentan en The Markup, pero la compañía tecnológica no consiguió solucionarlo.
Fuente: DPA