Si une application de suivi des contacts est installée sur votre smartphone Android, il se peut qu’elle fuit des données vers d’autres applications, selon une nouvelle étude de la société de confidentialité et de sécurité AppCensus.
L’année dernière, Google et Apple se sont associés pour développer une API de traçage des contacts qui utilise les données Bluetooth et GPS pour fournir une solution à faible coût pour savoir avec qui les personnes infectées par Covid-19 sont entrées en contact. La recherche des contacts a traditionnellement été effectuée manuellement, mais en raison de la prévalence des smartphones aujourd’hui, les géants de la technologie et les gouvernements du monde entier ont décidé de travailler ensemble pour utiliser la technologie pour arrêter la propagation du virus.
Alors que Google et Apple ont développé leur système de notifications d’exposition (ENS) pour alimenter les applications de traçage des contacts, des centaines d’applications tierces sur Android ont eu accès aux données sensibles collectées sur les appareils des utilisateurs. En effet, Google a décidé de stocker toutes les données sensibles collectées par ENS dans les journaux système des smartphones Android.
Bien que toutes les applications ne soient pas capables de lire les journaux système sur Android, le géant de la recherche permet à certains fabricants de matériel, télécoms et partenaires commerciaux de préinstaller des applications «privilégiées» capables d’accéder aux journaux système.
Dans un nouveau billet de blog, co-fondateur et responsable de la criminalistique d’AppCensus, Joel Reardon souligne le fait que le Redmi Note 9 de Xiaomi permet à 54 applications de lire les journaux système tandis que le Samsung Galaxy A11 le fait avec 89 applications. En conséquence, de nombreuses applications qui n’ont pas besoin d’accéder aux données de suivi des contacts d’un appareil les ont partagées avec elles sur Android.
Pour que les smartphones soient utilisés pour la recherche des contacts, les applications utilisant Android et l’API de Google émettent des identifiants anonymes qui changent périodiquement, appelés identifiants de proximité roulants (RPI) qui sont diffusés via Bluetooth. Ces RPI sont ensuite utilisés pour déterminer avec qui une personne a pu entrer en contact alors qu’elle était infectée par Covid-19.
Selon AppCensus, les RPI diffusés et ceux entendus par d’autres appareils peuvent être trouvés dans les journaux système des appareils Android. Les appareils qui entendent les RPI d’un autre smartphone enregistrent également l’adresse MAC Bluetooth actuelle de l’appareil d’envoi. Alors que les RPI et les adresses Bluetooth Mac sont aléatoires et anonymisés, AppCensus a pu identifier plusieurs façons dont ces données peuvent être utilisées pour mener des attaques contre la confidentialité.
Après avoir fait cette découverte, l’entreprise a rapidement contacté Google, bien que le géant de la recherche n’ait pas reconnu ni résolu le problème à l’époque. AppCensus a ensuite rendu ses conclusions publiques après 60 jours, ce qui est un peu plus court que la période de divulgation de 90 jours de Project Zero.
Dans une déclaration à ZDNet, un porte-parole de Google a expliqué que la société avait déjà examiné le problème et qu’une mise à jour avait commencé à être déployée sur les appareils Android il y a plusieurs semaines pour le résoudre, en disant:
«Nous avons été informés d’un problème où les identifiants Bluetooth étaient temporairement accessibles à certaines applications préinstallées à des fins de débogage. Immédiatement après avoir pris connaissance de cette recherche, nous avons commencé le processus nécessaire pour examiner le problème, envisager des mesures d’atténuation et, finalement, mettre à jour le code. . Ces identifiants Bluetooth ne révèlent pas la localisation d’un utilisateur ou ne fournissent aucune autre information d’identification et nous n’avons aucune indication qu’ils ont été utilisés de quelque manière que ce soit – ni qu’aucune application en était même consciente. »
Via ZDNet
