باگ اندروید اطلاعات ردیابی بیماری کووید ۱۹ را در اختیار برنامههای پیشفرض قرار میدهد
یک شرکت تحلیلگر در زمینه حریم خصوصی موسوم به AppCensus روز سهشنبه اعلام کرد که اپلیکیشن نمایش اعلانهای مرتبط به بیماری کووید 19 موسوم به Exposure Notification در سیستمعاملهای اندروید شرکت گوگل و iOS اپل با نوعی نقص در مقوله حریم خصوصی مواجه است. این حفره امنیتی به سایر اپلیکیشنهای از پیش نصب شده امکان خواهد داد تا به دادههای حساسی نظیر تماس کاربر با شخصی که تست بیماری کووید 19 وی مثبت اعلام شده است؛ دسترسی داشته باشند. شرکت گوگل اعلام کرده که انتشار یک پچ امنیتی برای رفع این باگ را آغاز نموده است.
باگ اخیرا مشاهده شده با ادعاهای مکرر ساندار پیچای؛ مدیرعامل گوگل، تیم کوک؛ مدیرعامل شرکت اپل و چندین مقام رسمی در حوزه بهداشت عمومی مغایرت دارد. بر اساس اعلام این افراد دادههای گردآوری شده توسط اپلیکیشن Exposure Notification با خارج از دستگاه کاربر قابل اشتراکگذاری نیستند.
بر اساس گزارش وبسایت Markup موسسه AppCensus نخستین بار در ماه فوریه وجود این حفره آسیبپذیری را به گوگل گزارش داد؛ اما غول جستجوگر در رفع این مشکل ناتوان ظاهر شد. Joel Reardon؛ بنیانگذار و سرپرست واحد پزشکی قانونی در موسسه AppCensus ضمن گفتگو با وبسایت Markup خاطرنشان کرد که ” رفع چنین مشکلی بسیار ساده بوده و نیازمند حذف چند خط غیرضروری از کد برنامه است. راه حل این باگ بسیار واضح است و بیتفاوتی نسبت به آن برای من بسیار تعجبآور بهنظر میرسد.”
خوزه کاستاندا؛ سخنگوی گوگل طی بیانیهای که از طریق ایمیل برای وبسایت Markup ارسال شده است؛ اعلام کرد: “فرآیند انتشار بهروزرسانی برای رفع این باگ در حال انجام است. ما به وجود مشکلی پی بردیم که طی آن شناسههای بلوتوث جهت اهداف خطایابی و بهصورت موقت در دسترس برخی اپلیکیشنهای سیستمی خاص قرار میگیرند. ما به منظور ارائه راه حل این مشکل بلافاصله دست بهکار شدیم.”
سیستم Exposure Notification از طریق پینگ سیگنالهای ناشناس بلوتوث بین گوشی کاربر و سایر هندستهایی که این سیستم روی آنها فعال شده است؛ عمل میکند. در ادامه چنانچه نتیجه تست کووید 19 افراد استفادهکننده از برنامه مثبت شود؛ در اینصورت آنها با همکاری مقامات بهداشتی قادر به ارسال اعلان هشدار روی کلیه گوشیهایی خواهند بود که سیگنال مربوط به آنها در حافظهداخلی هندست وارد شده است.
در گوشیهای اندرویدی دادههای ردیابی قراردادی درون قسمت ویژهای از حافظه سیستم وارد میشوند؛ بخشی که برای اکثر نرمافزارهای نصب شده روی گوشی غیرقابل دسترس خواهد بود. اما برنامههای از پیش نصب شده توسط تولیدکنندگان دارای مجوزهای سیستمی ویژهای هستند که به آنها امکان میدهد تا به گزارشات اپلیکیشن Exposure Notification دسترسی یافته و امنیت دادههای حساس ردیابی در معرض خطر قرار گیرد. به گفته آقای Reardon در حال حاضر هیچگونه شواهدی وجود ندارد که نشان دهد برنامهها واقعا به دادههای گردآوری شده دسترسی پیدا کردهاند.
اپلیکیشنهای از پیش نصب شده قبلا از مجوزهای ویژهای بهرهمند شدهاند و سایر بررسیها نشان میدهند که این برنامهها بعضا به دادههایی نظیر موقعیت جغرافیایی و فهرست مخاطبان گوشی دسترسی دارند. با اینحال بررسیهای صورت گرفته موفق به کشف هیچگونه مشکل مشابهی در سیستم Exposure Notification گوشیهای آیفون نشدند.
سرژ ایگلمن؛ مدیر ارشد فناوری در موسسه AppCensus طی بیانیهای که در شبکه اجتماعی توئیتر منتشر شده است؛ اعلام کرد: “این مشکل یک مسئله پیادهسازی بهشمار رفته و ذاتا به فریمورک Exposure Notification مربوط نمیشود. این موضوع نبایستی اعتماد به فناوریهای بهداشت عمومی را از بین ببرد. ما امیدواریم که این پدیده به منزله درسی باشد که نشان دهد دسترسی به حقوق حریم خصوصی واقعا دشوار بوده و حفرههای امنیتی همواره در سیستمهای مختلف کشف خواهند شد؛ اما همکاری جهت رفع این مشکلات یقینا به نفع همه خواهد بود.”
نوشته باگ اندروید اطلاعات ردیابی بیماری کووید 19 را در اختیار برنامههای پیشفرض قرار میدهد اولین بار در اخبار فناوری و موبایل پدیدار شد.