Un error expuso información del rastreo de contactos de Google a las apps preinstaladas: la solución, en camino

Un error expuso información del rastreo de contactos de Google a las apps preinstaladas: la solución, en camino

En abril del año pasado, Apple y Google unían fuerzas para crear una API universal e interoperable de rastreo de contactos, que más tarde sería aprovechable por aplicaciones como Radar COVID. Investigadores de AppCensus han encontrado ahora un problema de privacidad en la implementación de Android.

Seguridad y privacidad eran dos principales pilares de este sistema rastreo de contactos, pero según esta investigación, la implementación en Android fallaba al respecto de una forma tan obvia que resultaba sorprendente que nadie se hubiera dado cuenta hasta entonces: registraba datos sensibles en los registros del sistema, accesibles para las apps presinstaladas.


{“videoId”:”x80bixs”,”autoplay”:true,”title”:”RADAR COVID CÓMO FUNCIONA y para qué puedes usarla HOY”}

Registros del sistema con información sensible

La API de rastreo de contactos de Google y Apple usa Bluetooth para intercambiar identificadores entre móviles cercanos y poder así más tarde evaluar el nivel de riesgo de contagio de COVID. Durante el proceso no se comparte la ubicación ni información sensible entre los terminales ni con Google ni Apple: el sistema sabe que se estuvo cerca del terminal de alguien que ha dado positivo en COVID, pero no quién es.

Todo esto sucede entre bambalinas, sin que el usuario pueda ver mucha más información más allá de su nivel de riesgo y una ristra de identificadores indescifrables. Otras aplicaciones del móvil no pueden acceder a esta información, que la API provee únicamente a la aplicación de rastreo de contactos oficial de cada país. El caso cambia, o cambiaba, con las aplicaciones del sistema.

El problema que encontró AppCensus en el análisis de la implementación de la API de rastreo de contactos era tan simple como fácil de prevenir: actualizaba los registros del sistema con datos sensibles sobre las idas y venidas de identificadores. Los registros del sistema no son accesibles para las aplicaciones de terceros, pero sí para las aplicaciones preinstaladas del sistema.

En este registro del sistema, el rastreo de contactos de Android imprime los identificadores de Bluetooth con los que interactúa y el propio del dispositivo, exponiéndolos potencialmente a cualquier aplicación preinstalada que tenga acceso a ellos.

Registros

En este mismo registro del sistema se puede recopilar otros datos como el identificador Bluetooth real del móvil (a diferencia del que genera la API de rastreo de contactos, que cambia). Según AppCensus, juntando toda esta información y agregándola, sería potencialmente posible asociar una dirección MAC a una ubicación.

Como problema de seguridad, su alcance es limitado pues sólo las aplicaciones del sistema pueden pedir este permiso, aunque lo que más sorprendió a los investigadores de seguridad es que la solución era increíblemente obvia: no volcar en el registro ninguna información sobre el rastreo de contactos. No hay indicios de que ninguna aplicación haya explotado este problema de seguridad y Google ya ha parcheado la implementación, con unas correcciones que comenzaron a enviarse hace unas semanas y terminarán su despliegue en los próximos días.

Más información | AppCensus


La noticia

Un error expuso información del rastreo de contactos de Google a las apps preinstaladas: la solución, en camino

fue publicada originalmente en

Xataka Android

por
Iván Ramírez

.

from Xataka Android https://ift.tt/2PwI83G
via IFTTT