昨年 4 月、 Apple と Google は協力して、ユニバーサルで相互運用可能な接触追跡 API を作成しました。この API は、後にCOVID Radarなどのアプリケーションで活用されることになります。 AppCensus の研究者は、 Android の実装にプライバシーの問題があることを発見しました。
セキュリティとプライバシーはこの接触追跡システムの 2 つの主要な柱でしたが、今回の調査によると、Android への実装はこの点であまりにも明白な点で失敗しており、それまで誰も気付かなかったのは驚くべきことでした。機密データがファイルに記録されていたのです。システムの記録。プリインストールされたアプリからアクセスできます。
機密情報を含むシステムログ
Google と Apple の接触追跡 API は、Bluetooth を使用して近くの携帯電話間で識別子を交換し、後で 新型コロナウイルス 感染のリスク レベルを評価できるようにします。このプロセス中、位置情報や機密情報は端末間で共有されず、Google や Apple とも共有されません。システムは、それが新型コロナウイルス検査で陽性反応を示した人の端末の近くにあったことは認識しますが、それが誰であるかは認識しません。
これらはすべて舞台裏で行われ、ユーザーはリスク レベルを超える多くの情報や解読不能な識別子の文字列を見ることができません。他のモバイル アプリケーションはこの情報にアクセスできません。API は各国の公式接触追跡アプリケーションにのみ提供します。システム アプリケーションによって大文字と小文字が変わるか、変更されます。
AppCensus が接触追跡 API 実装の分析で発見した問題は、防ぐのが簡単であると同時に単純でした。識別子の出入りに関する機密データでシステム ログが更新されたのです。システム ログはサードパーティ製アプリケーションからはアクセスできませんが、プレインストールされたシステム アプリケーションからはアクセスできます。
このシステム ログには、Android の接触追跡により、通信する Bluetooth 識別子とデバイス自体が出力され、それらにアクセスできるプレインストールされたアプリにこれらの識別子が公開される可能性があります。
この同じシステム レコードで、携帯電話の実際の Bluetooth 識別子などの他のデータも収集できます (接触追跡 API によって生成されるものとは異なり、変更されます)。 AppCensus によると、これらすべての情報をまとめて集約することで、MAC アドレスと場所を関連付けることが可能になる可能性があります。
セキュリティ上の問題として、このアクセス許可を要求できるのはシステム アプリケーションだけであるため、その範囲は限られていますが、セキュリティ研究者を最も驚かせたのは、その解決策が信じられないほど明白であったことです。つまり、接触追跡情報をレジストリにダンプしないということです。アプリケーションがこのセキュリティ問題を悪用した形跡はなく、 Google はすでに実装にパッチを適用しており、数週間前に修正版の配布が開始されており、数日以内に公開が完了する予定です。
Googleの対応
Google は、これらの Bluetooth 識別子は、場所やその他の追加の識別情報を明らかにすることなく、デバッグ目的で一部のプリインストール アプリから一時的にアクセス可能であることを繰り返し述べた声明を私たちに送ってきました。また、修正の展開は数日以内に完了するはずであると繰り返し述べています。
暴露通知はプライバシー保護テクノロジーを使用して、公衆衛生当局が新型コロナウイルス感染症の蔓延を管理し、命を救うのに役立ちます。このシステムでは、Google、Apple、その他のユーザーはユーザーの身元を確認できず、すべての暴露通知の一致はデバイス上で発生します。デバッグ目的で、一部のプリインストール アプリケーションが Bluetooth 識別子に一時的にアクセスできるという問題について通知を受けました。この調査を知るとすぐに、問題を確認し、緩和策を検討し、コードを更新するために必要なプロセスを開始しました。これらの Bluetooth 識別子は、ユーザーの位置を明らかにしたり、その他の識別情報を提供したりするものではなく、それらが何らかの方法で使用されたという兆候も、アプリケーションがそれを認識していたという兆候もありません。
この種の調査には標準的なプロセスがあります。この問題を知った直後、私たちは問題を確認し、緩和策を検討し、コードを更新するために必要なプロセスを開始しました。 Android デバイス向けのこのアップデートの展開は数週間前に始まり、数日中に完了する予定です。
詳細情報 | アプリ国勢調査