image

Gevoelige data corona-apps toegankelijk voor voorgeïnstalleerde Android-apps

woensdag 28 april 2021, 12:23 door Redactie, 8 reacties

Gevoelige data van corona-apps is toegankelijk voor voorgeïnstalleerde apps op Androidtoestellen, waarmee een privacybelofte van Google wordt gebroken. Het techbedrijf, dat al meer dan zestig dagen van het probleem weet, is naar eigen zeggen bezig met het uitrollen van een oplossing voor de bug.

Onderzoekers van AppCensus waarschuwden Google op 19 februari van dit jaar voor het probleem en gaven het techbedrijf zestig dagen de tijd om met een oplossing te komen. Nu de bug volgens hen nog steeds aanwezig is heeft AppCensus de details openbaar gemaakt. De onderzoekers deden voor het Amerikaanse ministerie van Homeland Security onderzoek naar het Google-Apple Exposure Notification (GAEN) framework.

Deze service van Apple en Google zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth corona-apps gebruikmaken. Via de apps kunnen gebruikers hun contacten bijhouden en worden gewaarschuwd wanneer ze met een coronapatiënt in contact zijn gekomen of laten weten wanneer ze zelf besmet zijn geraakt. Googles implementatie van GAEN logt belangrijke informatie in de systeemlog, waar honderden third-party apps toegang toe hebben. Het probleem speelt niet bij Apples implementatie voor iOS.

Corona-apps die van het GAEN-framework gebruikmaken versturen via bluetooth rolling proximity identifiers. Deze identifiers kunnen door andere app-gebruikers worden ontvangen en opgeslagen. Om de privacy van gebruikers te beschermen worden de uitgezonden identifiers elke vijftien minuten veranderd. De corona-app downloadt dagelijks een lijst met identifiers van besmette personen. Vervolgens kijkt de app lokaal of de gebruiker deze identifiers op het toestel heeft staan, wat een besmet contact kan suggeren.

Hierbij stelden Apple en Google dat de identifiers die de gebruiker tegenkomt nooit zijn toestel zullen verlaten. De gebruiker ontvangt dagelijks alleen een lijst met identifiers van besmette personen, maar niemand anders dan de gebruiker komt te weten of hij contact met een besmet persoon heeft gehad. In het geval van Googles implementatie van GAEN worden alle identifiers van de gebruiker zelf en die hij allemaal tegenkomt naar de systeemlog geschreven. Voor de identifiers van andere toestellen logt Google ook het bluetooth mac-adres van het zendende toestel.

Google geeft voorgeïnstalleerde Android-apps van bijvoorbeeld fabrikanten, telecomproviders en hun commerciële partners toegang tot de systeemlog. Zo kunnen deze apps zien of de gebruiker met een besmet persoon in contact is geweest of zelf besmet is. Voorgeïnstalleerde Android-apps kunnen ook toegang tot het e-mailadres en telefoonnummer van het toestel hebben en zo de gebruiker identificeren. De onderzoekers waarschuwen dat apps die de logbestanden van meerdere gebruikers kunnen lezen ook kunnen achterhalen of bepaalde gebruikers op een bepaalde tijd en locatie bij elkaar waren.

"De oplossing is in één regel te doen, waarbij je een regel verwijdert die gevoelige informatie naar de systeemlog schrijft. Het heeft geen gevolgen voor het programma en verandert niet hoe het werkt", zegt Joel Reardon van AppCensus tegenover The Markup. "Het is zo'n duidelijke oplossing dat ik verbijsterd was dat het niet zo wordt gezien."

Google stelt in een verklaring dat het enkele weken geleden begonnen is met het uitrollen van een oplossing naar Androidtoestellen en dat dit binnen de komende dagen zal zijn afgerond. Volgens het techbedrijf zijn er geen aanwijzingen dat er misbruik van het probleem is gemaakt. De onderzoekers van AppCensus stellen dat het probleem nog altijd niet is opgelost en besloten daarom de details openbaar te maken.

Reacties (8)
28-04-2021, 12:53 door Anoniem
Gevoelige data corona-apps toegankelijk voor voorgeïnstalleerde Android-apps
De minister verzekerde ons dat de privacy was gewaarborgd... Oh, wacht!
28-04-2021, 13:01 door Anoniem
Maar wat is nou eigenlijk het probleem? Android gebruikers hebben sowieso niks met privacy op.
28-04-2021, 13:16 door Anoniem
Door Anoniem:
Gevoelige data corona-apps toegankelijk voor voorgeïnstalleerde Android-apps
De minister verzekerde ons dat de privacy was gewaarborgd... Oh, wacht!

Ik heb daar geen actieve herinnering aan.
28-04-2021, 14:15 door spatieman
google begonnen met blablabla.
en 5 jaar later volgen alle andere droid bakkers ook eens.
28-04-2021, 14:51 door Anoniem
Door Anoniem: Maar wat is nou eigenlijk het probleem? Android gebruikers hebben sowieso niks met privacy op.
Wat vraagt Apple als een van de eerste dingen wanneer je een nieuwe iPhone aan zet?

Is dat wel privacy vriendelijk?
28-04-2021, 18:46 door Anoniem
Door Anoniem:
Door Anoniem: Maar wat is nou eigenlijk het probleem? Android gebruikers hebben sowieso niks met privacy op.
Wat vraagt Apple als een van de eerste dingen wanneer je een nieuwe iPhone aan zet?

Is dat wel privacy vriendelijk?

Een Apple account (niet verplicht)
Toegang voor Siri, Locatie, feedback voor verbetering en nog wat dingen die allemaal OPTIONEEL zijn.

Veel privacy vriendelijker dan die Google data- en tracking devices.

Maar ik hou het wel bij mijn Pinephone.
28-04-2021, 21:41 door Anoniem
Het heeft geen gevolgen voor het programma en verandert niet hoe het werkt", zegt Joel Reardon van AppCensus tegenover The Markup. "Het is zo'n duidelijke oplossing dat ik verbijsterd was dat het niet zo wordt gezien."
Eh... Natuurlijk wordt het wel zo gezien. Maar je gaat voorbij aan het doel van die regels in de log.
Als je DAT in het achterhoofd houdt, dan klopt het opeens veel beter!
29-04-2021, 16:09 door Anoniem
Een prangende kwestie, over DigID. De vraag: leest Google mee?

Android system log
29-04-2021, 11:00 door Erik van Straten

https://www.security.nl/posting/701284/Android+system+log
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.