Как стать автором
Обновить

Во фреймворке Apple/Google для отслеживания контактов больных коронавирусом нашли уязвимость

Информационная безопасность *Разработка мобильных приложений *API *
image

Исследователи безопасности опубликовали видео, демонстрирующее, как небольшая задержка в передаче данных в системе отслеживания контактов COVID от Apple/Google может раскрыть данные пользователей таких приложений.

Система передает хэшированные, меняющиеся идентификаторы, которые не позволяют отслеживать отдельный телефон в течение более чем 15 минут.

На смартфонах пользователей приложения запускается BLE-сервис с service UUID и characteristic UUID, особым кодом, определяющим протокол отслеживания контактов. Телефоны периодически ищут по Bluetooth другие устройства с фиксированными service UUID и characteristic UUID, а при контакте протокол передает анонимные идентификаторы устройств друг другу.

Идентификатор меняется каждые 10 минут, а mac-адрес Bluetooth LE меняется в интервале 15-20 минут. В этот момент становится возможным привязать идентификаторы ко времени. Это уже позволяет отслеживать перемещения конкретных людей.

Проблема синхронизации затрагивает, однако, не все телефоны, а примерно половину из тестового набора.

Независимые исследователи не могут выпустить патч, поскольку протокол Apple/Google имеет закрытый исходный код, хотя большинство приложений на нем работают с открытым кодом. Разработчики призвали открыть код, чтобы в нем было быстрее и проще искать уязвимости.

Ранее выяснилось, что при внедрении приложений для борьбы с распространением коронавируса на API от Apple и Google система требует от пользователей устройств на Android включить определение местоположения. Ряд европейских правительств требовал от Google объяснений по этому поводу.
См. также:

Теги:
Хабы:
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 6.5K
Комментарии Комментарии 5