Un bug nel contact tracing di Google ne espone i dati alle app preinstallate

C'è un bug nel framework per il contact tracing di Google su Android che permette alle app preinstallate sullo smartphone di poter accedere a dati sensibili, incluso il fatto se l'utente sia venuto o meno in contatto con persone positive al COVID-19. A riportarlo è la società di analisi AppCensus, che del fatto aveva già informato Google lo scorso febbraio, ed ora è infatti in rollout un fix per detto bug.

La cosa un po' anomala è il tempo che c'è voluto per risolvere un problema che, secondo Joel Reardon, co-fondatore e responsabile forense di AppCensus, è di una banalità estrema: semplice quanto cancellare alcune righe di codice non essenziali.

I dati del contract tracing vengono infatti salvati in una porzione di memoria privilegiata, alla quale le app non hanno accesso, ad eccezione di quelle preinstallate, presenti nella cartella /system. Non c'è comunque evidenza alcuna che qualche app abbia raccolto detti dati, e del resto la cosa non ci stupisce.

La maggior parte delle app preinstallate sono a firma del produttore stesso dello smartphone: pensate se venisse fuori che le app di Samsung (nome casuale) collezionano i dati di contact tracing dei loro utenti!

Detto ciò, ci possono comunque essere app di terze parti tra quelle preinstallate, ed in ogni caso è bene che il bug sia risolto a prescindere. Il problema è più di implementazione, che non del framework di Google ed Apple, che rimane sicuro di per sé (infatti su iPhone non c'è lo stesso problema), come ribadito anche da Serge Egelman, CTO di AppCensus, del quale condividiamo l'augurio che ciò non mini la fiducia del pubblico in tecnologie di questo tipo.