Covid-19, un bug che (solo) Google non riesce ancora a risolvere

La versione Android di Google e l’app di notifica dell’esposizione Covid-19 presentavano un difetto di privacy. Lo ha svelato la società di analisi della privacy AppCensus.

L’applicazione di notifica consentiva ad altre app preinstallate potenzialmente di vedere dati sensibili, incluso se qualcuno fosse stato in contatto con una persona risultata positiva al Covid-19.

Covid-19, AppCensus: il bug si risolve così

“AppCensus ha segnalato per la prima volta la vulnerabilità a Google lo scorso febbraio, ma la società non è riuscita tutt’ora a risolverla” ha riferito The Markup.

LEGGI ANCHE >>> Offerte Vodafone, le eSIM sono attivabili anche online: cosa bisogna fare

“Risolvere il problema sarebbe semplice come eliminare alcune righe di codice non essenziali – tuona Joel Reardon, co-fondatore e responsabile forense di AppCensus, sempre a The Markup. “È una soluzione così ovvia, ancora non capisco perché nessuno lo ha capito”.

LEGGI ANCHE >>> Vikings stagione 7 e spin-off: cosa succederà nei prossimi mesi

Google ha ammesso il bug. “Gli aggiornamenti per affrontare il problema sono in corso”. Parola di José Castañeda, un portavoce di Google in una dichiarazione inviata per e-mail a The Markup. “Siamo stati informati di un problema in cui gli identificatori Bluetooth erano temporaneamente accessibili a specifiche applicazioni a livello di sistema per scopi di debug. Per questo abbiamo immediatamente iniziato a implementare una soluzione per risolvere questo problema”.

Il sistema di notifica dell’esposizione funziona inviando segnali Bluetooth anonimi tra lo smartphone di un utente e altri cellulari che hanno il sistema attivato. Chiunque utilizza l’app ed è risultato positivo al Covid-19, può collaborare con le autorità sanitarie per inviare un avviso a tutti i telefoni con segnali corrispondenti registrati nella memoria del telefono.

Sugli smartphone Android, i dati di tracciamento del contatto vengono registrati nella memoria di sistema privilegiata, dove è inaccessibile alla maggior parte del software in esecuzione sul cellulare. Ma le app preinstallate dai produttori ottengono privilegi di sistema speciali, che consentirebbero loro di accedere a quei registri, mettendo a rischio i dati sensibili del tracciamento dei contatti. “Non ci sono comunque indicazioni – sottolinea Reardon – che le app abbiano effettivamente raccolto quei dati”.

I firmware di tracciamento dei contatti introdotti lo scorso aprile presentano una falla nella privacy, dunque. Ma solo sui device Android. Nessun rischio di esposizione dei dati personali, per il momento, sugli iPhone di Apple.