AppCensus: باگ اندروید دسترسی به اطلاعات حساس سیستم رهگیری کرونا را ممکن می‌کند

AppCensus، شرکت تحلیلی در حوزه‌ی حریم خصوصی، مدعی شده است که نسخه‌ی اندروید اپلیکیشن مشترک اپل و گوگل برای شناسایی افرادی که در معرض ابتلا به ویروس کرونا بوده‌اند دارای نقصی امنیتی است که از لحاظ تئوری به دیگر اپلیکیشن‌های از پیش ‌نصب‌شده امکان می‌دهد داد‌ه‌های حساس را ببینند.

ظاهرا این داده‌های حساس مواردی مثل برخورد کاربر با فرد دارای آزمایش کرونای مثبت را نیز شامل می‌شود. گوگل می‌گوید اکنون در حال انتشار به‌روزرسانی برای این رفع نقص امنیتی است.

به گزارش ورج، سوندار پیچای، مدیرعامل گوگل و تیم کوک، مدیرعامل اپل به‌ همراه شماری از مقامات رسمی حوزه‌ی بهداشت بارها تأکید کرده‌اند داده‌های جمع‌آوری‌شده توسط سیستم پایش ویروس کرونا در اندروید و iOS، خارج از دستگاه کاربر با فرد یا سازمان دیگری به اشتراک گذاشته نمی‌شود؛ اما نقص امنیتی نسخه‌ی اندروید این ادعا را زیر سؤال می‌برد. 

AppCensus می‌گوید نخستین بار در ماه فوریه‌ی ۲۰۲۱ (بهمن و اسفند ۱۳۹۹) جزئیات باگ را در اختیار گوگل قرار داده است؛ اما این شرکت نتوانسته آسیب‌پذیری را رفع کند. جوئل ریردن، هم‌بنیان‌گذار و مدیر واحد فارنزیک در AppCensus، به The Markup گفته است برای حل شدن نقص امنیتی کافی است چند خط کد غیر ضروری از اپلیکیشن حذف شود. او می‌گوید از اینکه گوگل نتوانسته چنین آسیب‌پذیری ساده‌ای را رفع کند «متحیر» شده است. 

خوزه کاستاندا به نمایندگی از گوگل، در ایمیلی گفته که شرکت واقع در مانتین ویو در حال کار روی به‌روزرسانی‌ برای رفع نقص امنیتی سیستم پایش کووید است. این نماینده می‌گوید شناساگرهای بلوتوث با هدف اشکال‌زدایی، به‌صورت موقت در دسترسِ اپلیکیشن‌های سیستمیِ خاصی بوده‌اند و گوگل فورا انتشار به‌روزرسانی برای رفع مشکل را آغاز کرده است.

سیستم اطلاع‌رسانی کووید که نتیجه‌ی همکاری مستقیم اپل و گوگل است و سال گذشته سروصدای زیادی به پا کرد، سیگنال‌های ناشناس بلوتوث را بین دستگاه کاربر و دیگر دستگاه‌هایی که قابلیت را فعال کرده‌اند ارسال می‌‌کند. اگر فردی که از اپلیکیشن استفاده می‌کند آزمایش کرونای مثبت داشته باشد، می‌تواند در همکاری با نهادهای بهداشت هشداری برای تمامی دستگاه‌هایی بفرستد که سیگنال بلوتوث دستگاه فرد مبتلا را در حافظه‌ی خود ذخیره کرده‌اند. در اندروید داده‌های سیستم پایش کووید در حافظه‌ی خاص سیستم ثبت می‌شود تا اکثر نرم‌افزارهای داخل گوشی امکان دسترسی به آن را نداشته باشند.

اما اپلیکیشن‌هایی که توسط گوشی‌سازان به‌صورت پیش‌فرض روی گوشی نصب می‌شوند، دارای یک‌ سری دسترسی سیستمیِ خاص هستند که به آن‌ها امکان می‌دهد اطلاعات سیستم پایش کووید را ببینند و داده‌های این سیستم در خطر افشا شدن باشد. جوئل ریردن می‌گوید در حال حاضر هیچ مدرکی وجود ندارد که نشان بدهد که اپلیکیشن‌های پیش‌فرض اندروید این داده‌ها را جمع‌آوری کرده باشند.

اپلیکیشن‌های از پیش‌ نصب‌شده قبلاً از مجوزهای مخصوصشان سوءاستفاده کرده‌اند؛ تحقیقاتی دیگر نشان می‌دهد این اپلیکیشن‌ها گاهی اوقات اطلاعاتی مانند موقعیت جغرافیایی و فهرست مخاطبان گوشی را استخراج می‌کنند.

محققان AppCensus می‌گویند نقص امنیتی مشابهی در نسخه‌ی iOS سیستم رهگیری ابتلا به ویروس کرونا پیدا نکرده‌اند. 

سرج اگلمن، مدیر ارشد فناوری در AppCensus، در توییتر می‌نویسد مشکل مورد بحث در نسخه‌ی اندروید اپلیکیشن از نحوه‌ی پیاده‌سازی نشئت می‌گیرد و به خودِ فریم‌ورک سیستم پایش کووید ارتباط ندارد. به همین دلیل نباید اعتماد مردم به فناوری‌های بهداشت عمومی از بین برود.

اگلمن می‌گوید: «امیدواریم درسِ اصلی، این باشد که حفظ حریم خصوصی به شکل مناسب واقعا سخت است و آسیب‌پذیری همیشه در سیستم‌ها کشف می‌شود. بااین‌حال به نفع همه است که برای رفع این مشکلات همکاری کنیم.»