5 September

Во фреймворке Apple/Google для отслеживания контактов больных коронавирусом нашли уязвимость

Information SecurityDevelopment of mobile applicationsAPI
image

Исследователи безопасности опубликовали видео, демонстрирующее, как небольшая задержка в передаче данных в системе отслеживания контактов COVID от Apple/Google может раскрыть данные пользователей таких приложений.

Система передает хэшированные, меняющиеся идентификаторы, которые не позволяют отслеживать отдельный телефон в течение более чем 15 минут.

На смартфонах пользователей приложения запускается BLE-сервис с service UUID и characteristic UUID, особым кодом, определяющим протокол отслеживания контактов. Телефоны периодически ищут по Bluetooth другие устройства с фиксированными service UUID и characteristic UUID, а при контакте протокол передает анонимные идентификаторы устройств друг другу.

Идентификатор меняется каждые 10 минут, а mac-адрес Bluetooth LE меняется в интервале 15-20 минут. В этот момент становится возможным привязать идентификаторы ко времени. Это уже позволяет отслеживать перемещения конкретных людей.

Проблема синхронизации затрагивает, однако, не все телефоны, а примерно половину из тестового набора.

Независимые исследователи не могут выпустить патч, поскольку протокол Apple/Google имеет закрытый исходный код, хотя большинство приложений на нем работают с открытым кодом. Разработчики призвали открыть код, чтобы в нем было быстрее и проще искать уязвимости.

Ранее выяснилось, что при внедрении приложений для борьбы с распространением коронавируса на API от Apple и Google система требует от пользователей устройств на Android включить определение местоположения. Ряд европейских правительств требовал от Google объяснений по этому поводу.
См. также:

Tags:apiapplegoogleframeworkотслеживание пользователеймобильные приложениякоронавирус
Hubs: Information Security Development of mobile applications API
+7
6.1k 3
Comments 5
Popular right now
Framework Laravel
April 29, 202150,000 ₽OTUS
Профессия iOS-разработчик
November 30, 202075,000 ₽SkillFactory
Основы HTML и CSS
November 30, 2020FreeНетология