ما نگرانی هایی در مورد حریم خصوصی و پیامدهای امنیتی برنامه های ردیابی قرارداد Covid-19 داشته ایم و گزارش جدید حاکی از آن است که چندین برنامه ساخته شده بر روی یک چارچوب متحد که به طور مشترک توسط اپل و گوگل ساخته شده اند ، می توانند نقض محرمانه متعدد داشته باشند. .
بعید به نظر می رسد که اپل و گوگل متحدین تلاش کرده باشند تا به مردم اطمینان دهند که API های ردیابی تماس با آنها از حریم خصوصی و امنیت محافظت شده است. آنها ادعا کردند که هیچ کس نمی تواند از این فناوری برای ردیابی مکان های کاربر یا فروش تبلیغات استفاده کند.
نرم افزار چگونه کار می کند؟
به منظور شناسایی قرار گرفتن در معرض Covid-19 ، این چارچوب از آنچه دو شرکت "شناسه های نزدیکی نورد" یا پینگ های هویت دارای بلوتوث نامیده اند ، استفاده می کند. شناسه بلوتوث هر 15 دقیقه تغییر می کند و شناسایی افراد را دشوارتر می کند. اطلاعات جمع آوری شده نیز به صورت محلی ذخیره می شود و در ابر یا سرور فیزیکی ذخیره نمی شود.
چارچوب اپل و گوگل به طور ملی توسط دولت های انگلیس و کانادا و همچنین چندین دولت ایالتی ایالات متحده به تصویب رسیده است ، ده ها میلیون کاربر را تحت پوشش خود قرار داده است.
[Get more privacy stories in your inbox. Sign up for the ExpressVPN blog newsletter].
حفره امنیتی چیست؟
آسیب پذیری امنیتی ، که تصور می شود فقط روی نسخه Android برنامه ردیابی مخاطب تأثیر می گذارد ، ابتدا توسط AppCensus ، شرکتی که تجزیه و تحلیل محرمانه بودن برنامه ها را انجام می دهد ، شناسایی شد. در تحقیقات خود ، این شرکت کشف کرد که شناسه های بلوتوث شروع به اشتراک گذاری اطلاعات حساس با برنامه های سطح سیستم کرده اند.
AppCensus این کشف را به عنوان بخشی از قرارداد با وزارت امنیت داخلی آمریکا برای تجزیه و تحلیل چارچوب های امنیتی این ابزار انجام داد. . این شرکت هیچ مشکلی با نسخه iOS پیدا نکرد.
طبق ماركاپ ، كه موضوع را پیگیری كرد ، چندین برنامه از قبل نصب شده در دستگاههای Android مانند Samsung Browser و Motorola MotoCare به این اطلاعات ردیابی مخاطب دسترسی داشتند. این به این دلیل است که این چارچوب برای ذخیره اطلاعات در سیاهههای مربوط به سیستم طراحی شده است ، برنامه های از پیش نصب شده مانند دو مورد فوق نیز از دسترسی به داده ها برخوردار هستند.
این گزارش اضافه می کند که حداکثر 400 برنامه از پیش نصب شده ایجاد شده توسط شرکت هایی مانند سامسونگ ، موتورولا و هواوی قابلیت خواندن گزارش های سیستم را برای گزارش خرابی و گزارش گزارش حوادث حفظ می کنند. این دقیقاً همان جایی است که برنامه ردیابی مخاطب اطلاعات مهم را ذخیره می کند.
تیم تحقیقاتی AppCensus اضافه کرد که سیاهههای مربوط به سیستم شامل داده هایی از جمله اینکه آیا شخصی با کسی که آزمایش مثبت Covid-19 را تأیید کرده است تماس پیدا می کند یا خیر. برخی از اطلاعات ممکن است شخصاً قابل شناسایی باشد ، مانند نام دستگاه و آدرس MAC. به طور تئوریک ، برنامه های متخلف می توانستند داده ها را جمع آوری کرده و برای شرکت اصلی خود ارسال کنند ، اما محققان هیچ مدرکی در مورد عملکرد آنها پیدا نکردند.
Google یا Apple چه واکنشی نشان دادند؟
این تیم برای اولین بار در 19 فوریه یافته های خود را از طریق برنامه bug bounty به Google اطلاع داد و نزدیک به یک ماه بعد از آنها با خبر شد. AppCensus سرانجام ایمیل دوم خود را از Google دریافت کرد و گفت که آنها این نقص را به عنوان یک خطر قابل توجه نمی دانند و شرایط پرداخت اشکال را ندارند.
گوگل فقط پس از تماس خبرنگاران با آن برای کسب اطلاعات بیشتر اقدامی انجام داد.
"سخنگوی Google در بیانیه ای گفت:" ما از مسئله ای مطلع شدیم كه اعتبارنامه بلوتوث به طور موقت برای برنامه های خاص سطح سیستم برای اهداف خطایابی قابل دسترسی است ، و ما بلافاصله شروع به كاربرد وصله ای برای حل این مسئله کردیم. "
بیشتر بیاموزید : آزمایشات ، عکس ها ، برنامه ها: جهان جدید مهاجم سفر
آیا شما برنامه ردیابی مخاطب دارید؟ اگر نگران این موضوع هستید در نظرات به ما بگویید!
من دوست دارم درباره تأثیر اینترنت بر بشریت فکر کنم. در اوقات فراغت ، ماکارونی را می خورم.
آیا آنچه می خوانید را دوست دارید؟
برای این پیام استقبال می کنیم. یا برداشت های خود را به اشتراک بگذارید!
jQuery (پنجره) .on (& # 39؛ load & # 39؛، function () {
(یک تابع () {
var _fbq = پنجره ._ fbq || (window._fbq = []) ؛
if (! _fbq.loaded) {
var fbds = document.createElement (& # 39؛ اسکریپت & # 39؛)؛
fbds.async = درست ؛
fbds.src = & # 39؛ https: //connect.facebook.net/en_US/fbds.js' ؛؛
var s = document.getElementByTagName (& # 39؛ اسکریپت & # 39؛) [0]؛
s.parentNode.insertBefore (fbds ، s) ؛
_fbq.loaded = true؛
}
_fbq.push ([‘addPixelId’, ‘709573189173934’]) ؛
} ())؛
window._fbq = window._fbq || []
window._fbq.push ([‘track’, ‘Lead’])؛
})؛
