La versión Android de la app de notificación de exposición a contactos con COVID-19 de Google y Apple tenía un error que permitía a otras apps preinstaladas ver esos datos privados.
Incluso permitía saber si un contacto había estado con una persona que había dado positivo por COVID-19. Este agujero de seguridad ha sido publicado en el día de hoy por la firma AppCensus.
Google ya ha lanzado una solución a la app COVID-19
Los chicos de Mountain View no han tardado en responder y ya están desplegando una solución a este bug. La inmediatez y las prisas para solucionarlo se debe a la promesa dada en firme por Sundar Pichai, CEO de Google, y Tim Cook, CEO de Apple.
Los dos prometieron que los datos recogidos por la app de notificación ante una exposición por COVID-19 nunca sería compartidos fuera del dispositivo del usuario.
De hecho AppCensus notificó a Google de la existencia de esta vulnerabilidad a Google en febrero, pero no pudo corregirlo a tiempo. Una solución que parece que tenía que ver con el borrado de unas líneas de código sin mayor importancia.
José Castañeda, portavoz de Google, menciona que fueron notificados de un problema con los identificadores Bluetooth que accedían de forma temporal a niveles de sistema específicos. No sería la primera vez que se encuentran problemas parecidos en esta app como sucedió a principios de año.
En Android el problema yace en que las apps preinstaladas sí que pueden acceder a esos niveles de sistema específicos, lo que les dio la oportunidad de poder ver esos datos de rastreo de personas en la app creada por Google y Apple.
Desde la firma se ha comunicado que no hay ninguna indicación de que estas apps hubieran obtenido alguno de esos datos. Respecto al iPhone, AppCensus no habría encontrado ninguna vulnerabilidad similar.