Artículos

Google prometió que su aplicación de rastreo de contactos era completamente privada, pero no lo era

por Alfred Ng

Cuando Google y Apple presentaron su marco de seguimiento de contactos COVID-19 en abril de 2020, las empresas tenían como objetivo tranquilizar a las personas preocupadas por compartir información médica privada con las principales corporaciones.

Google y Apple ofrecieron garantías de que los datos generados a través de las aplicaciones (movimientos de las personas, con quién podrían haber estado en contacto y si informaron dar positivo por COVID-19) serían anonimizados y nunca se compartirían con nadie más que con la salud pública. agencias.

“Nuestro objetivo es empoderar [a las agencias de salud pública] con otra herramienta para ayudar a combatir el virus mientras se protege la privacidad del usuario”, escribió el CEO de Google, Sundar Pichai, en un tweet en mayo pasado , cuando el marco estuvo disponible públicamente.

El CEO de Apple, Tim Cook, brindó garantías similares.

Desde entonces, millones de personas han descargado aplicaciones de rastreo de contactos desarrolladas a través del marco de Apple y Google: la aplicación de los Servicios Nacionales de Salud del Reino Unido tiene al menos 16 millones de usuarios, mientras que la aplicación de Alerta COVID del Servicio Digital de Canadá se jactó de más de seis millones de descargas en enero, y el Departamento de Salud de Virginia, señaló que más de dos millones de residentes estaban usando su aplicación COVIDWISE.

El gobernador de California, Gavin Newsom, respaldó la versión de la aplicación de su estado, calificándola de “100% privada y segura” en un tweet en diciembre pasado.

Pero The Markup ha descubierto que no solo la versión de Android de la herramienta de rastreo de contactos contiene una falla de privacidad, sino que cuando los investigadores de la firma de análisis de privacidad AppCensus alertaron a Google sobre el problema en febrero de este año, Google no lo cambió. AppCensus estaba probando el sistema como parte de un contrato con el Departamento de Seguridad Nacional. La compañía no encontró problemas similares con la versión del marco para iPhone.

“Esta solución es una cosa de una línea en la que se elimina una línea que registra información confidencial en el registro del sistema. No afecta el programa, no cambia su funcionamiento ”, dijo Joel Reardon, cofundador y líder forense de AppCensus. “Es una solución tan obvia, y me sorprendió que no se viera así”.

“Nos notificaron de un problema en el que los identificadores de Bluetooth eran accesibles temporalmente para aplicaciones específicas del nivel del sistema con fines de depuración, e inmediatamente comenzamos a implementar una solución para solucionarlo”, dijo el portavoz de Google, José Castañeda, en un comunicado enviado por correo electrónico a The Markup.

Serge Egelman, cofundador y director de tecnología de AppCensus, sin embargo, dijo que Google había desestimado repetidamente las preocupaciones de la empresa sobre el error hasta que The Markup contactó a Google para comentar sobre el tema a fines de la semana pasada.

Cuando se le preguntó si la vulnerabilidad ha sido eliminada, Castañeda dijo que “la implementación de esta actualización en los dispositivos Android comenzó hace varias semanas y estará completa en los próximos días”.

El problema, dijo Reardon, es que cientos de aplicaciones preinstaladas como Samsung Browser y MotoCare de Motorola en dispositivos Android tienen acceso a información potencialmente confidencial que las aplicaciones de rastreo de contactos almacenan en los registros del sistema, un subproducto de cómo las aplicaciones preinstaladas reciben información sobre análisis de usuarios y informes de fallos.

La herramienta de rastreo de contactos funciona intercambiando señales Bluetooth anónimas con otros teléfonos que tienen la aplicación de rastreo de contactos. Esas señales se cambian cada 15 minutos para que sea más difícil identificar a alguien y se crean a partir de una clave que cambia cada 24 horas.

Captura de pantalla de la descripción general de Google y Apple de su propuesta de rastreo de contactos
Google y Apple explicaron cómo se intercambian los “identificadores de proximidad rodantes”.

Las señales que generan y reciben los datos de rastreo de contactos de un teléfono se guardan en los registros del sistema de un dispositivo Android. Los estudios han encontrado que más de 400 aplicaciones preinstaladas en teléfonos construidos por Samsung, Motorola, Huawei y otras compañías tienen permiso para leer registros del sistema para informes de fallas y propósitos analíticos.

En el caso de las aplicaciones de rastreo de contactos, Reardon descubrió que los registros del sistema incluían datos sobre si una persona estaba en contacto con alguien que dio positivo en la prueba de COVID-19 y podría contener información de identificación como el nombre de un dispositivo, la dirección MAC y la identificación de publicidad de otras aplicaciones. En teoría, esa información podría ser barrida por aplicaciones preinstaladas y enviada a los servidores de su empresa. No ha descubierto que ninguna aplicación haya recopilado esos datos, pero no hay nada que les impida hacerlo.

“Lo que Google está diciendo es que estos registros nunca abandonan el dispositivo”, dijo Reardon. “No pueden hacer esa afirmación, no saben si alguna de estas aplicaciones está recopilando los registros del sistema”.

“Estos identificadores de Bluetooth no revelan la ubicación de un usuario ni proporcionan ninguna otra información de identificación y no tenemos ninguna indicación de que se hayan utilizado de ninguna manera, ni que ninguna aplicación estuviera al tanto de esto”, dijo Castañeda, portavoz de Google, en el correo electrónico a The Markup.

Google ha hecho varias promesas públicas de que todos los datos de rastreo de contactos se procesarán en el teléfono de un usuario y no se enviarán a ningún servidor. Si bien las aplicaciones intercambian señales Bluetooth anónimas, la única vez que se enviarían datos a una entidad externa sería si un usuario se identificaba como positivo para COVID-19 y optaba por compartir esa información con las autoridades de salud pública.

Cuando Google y Apple lanzaron la herramienta por primera vez, prometieron que “la lista de personas con las que ha estado en contacto no dejará su teléfono a menos que elija compartirlo” durante una rueda de prensa.

En el evento principal de la Asociación Internacional de Profesionales de la Privacidad en julio pasado, los directores de privacidad de Google y Apple destacaron que almacenar y procesar los datos solo en dispositivos en lugar de servidores protegía la privacidad de sus usuarios.

“Sentimos firmemente que toda esta información de notificación de exposición que se realiza en [el] dispositivo y que el procesamiento se realiza bajo los estrictos controles del usuario es una característica de diseño esencial para optimizar la privacidad del sistema”, Keith Enright, director de privacidad de Google oficial, dijo en el panel.

La política de privacidad de Connecticut para la aplicación de rastreo de contactos del estado también señala que los datos se almacenan solo en el dispositivo de un usuario y no se comparten a menos que una persona tenga un diagnóstico positivo de COVID-19 y elija compartir esa información. La aplicación del estado se basa en el marco de notificación de exposición de Google y Apple.

“Estos datos se almacenan solo en el dispositivo del usuario y nunca se comparten a menos que y hasta que el usuario tenga un diagnóstico positivo de COVID-19 y elija compartir esta información dentro del sistema”, establece la política.

Reardon se comunicó por primera vez con Google sobre el problema el 19 de febrero y presentó un informe al programa de recompensas por errores de Google.

Google tiene un programa en el que paga a los investigadores por encontrar problemas de seguridad con sus servicios, pero solo si la empresa lo considera una falla lo suficientemente grave. El equipo no creía que los hallazgos de Reardon cumplieran con sus estándares, según los correos electrónicos proporcionados a The Markup por AppCensus.

El 12 de marzo, Reardon recibió un correo electrónico de “Enzo, equipo de seguridad de Google” que decía: “Esto podría no ser lo suficientemente grave como para calificar para una recompensa, aunque el panel analizará la próxima reunión y lo actualizaremos una vez”. tenemos más información. Todo lo que necesitas hacer ahora es esperar. Si no recibe noticias nuestras en 2-3 semanas o si tiene información adicional sobre la vulnerabilidad, háganoslo saber “.

Cuatro días después, Reardon recibió un correo electrónico automático de Google diciéndole que había confirmado que la falla no era suficiente para justificar un pago y que el equipo de seguridad “decidiría si querían hacer un cambio o no”.

Dijo que no ha tenido noticias de la empresa desde entonces.

Reardon también se comunicó con Giles Hogben, director de ingeniería de privacidad de Android, el 19 de febrero. En un correo electrónico, Hogben señaló, en respuesta a las preocupaciones de Reardon, que solo ciertas aplicaciones podían acceder a los registros del sistema.

“[Los registros del sistema] no han sido legibles por aplicaciones sin privilegios (solo con el permiso privilegiado READ_LOGS) desde mucho antes de Android 11 (puedo verificar exactamente cuándo, pero pienso en 4)”, dijo Hogben en su respuesta del 25 de febrero.

Sin embargo, Reardon dijo que cientos de aplicaciones preinstaladas aún pueden leer esos registros del sistema. “En realidad, están recopilando información que sería devastadora para la privacidad de las personas que usan el rastreo de contactos”, dijo.

Fuente: The Markup