Во фреймворке Apple/Google для отслеживания контактов больных коронавирусом нашли уязвимость

Исследователи безопасности опубликовали видео, демонстрирующее, как небольшая задержка в передаче данных в системе отслеживания контактов COVID от Apple/Google может раскрыть данные пользователей таких приложений.

Система передает хэшированные, меняющиеся идентификаторы, которые не позволяют отслеживать отдельный телефон в течение более чем 15 минут.

На смартфонах пользователей приложения запускается BLE-сервис с service UUID и characteristic UUID, особым кодом, определяющим протокол отслеживания контактов. Телефоны периодически ищут по Bluetooth другие устройства с фиксированными service UUID и characteristic UUID, а при контакте протокол передает анонимные идентификаторы устройств друг другу.

Идентификатор меняется каждые 10 минут, а mac-адрес Bluetooth LE меняется в интервале 15-20 минут. В этот момент становится возможным привязать идентификаторы ко времени. Это уже позволяет отслеживать перемещения конкретных людей.

Проблема синхронизации затрагивает, однако, не все телефоны, а примерно половину из тестового набора.

Независимые исследователи не могут выпустить патч, поскольку протокол Apple/Google имеет закрытый исходный код, хотя большинство приложений на нем работают с открытым кодом. Разработчики призвали открыть код, чтобы в нем было быстрее и проще искать уязвимости.

Ранее выяснилось, что при внедрении приложений для борьбы с распространением коронавируса на API от Apple и Google система требует от пользователей устройств на Android включить определение местоположения. Ряд европейских правительств требовал от Google объяснений по этому поводу.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован.

Кнопка «Наверх»