Android: Un error en el sistema de seguimiento de COVID-19 expuso datos confidenciales

Cuando inicio la pandemia, tanto a Apple como a Google se les ocurrió un sistema de rastreo integrado en el sistema para detectar si habían casos de COVID-19 por los alrededores de su comunidad y así poder evitar las aglomeraciones o los contactos directos.

El CEO de Google, Sundar Pichai, el CEO de Apple, Tim Cook, y varios centros de salud dieron el visto bueno a este sistema de rastreo COVID-19 y afirmaron que los datos recopilados por el programa de notificación de exposición no se podrían compartir fuera del dispositivo personal.

"Nuestro objetivo es empoderar [a las agencias de salud pública] con otra herramienta para ayudar a combatir el virus mientras se protege la privacidad del usuario", escribió el CEO de Google, Sundar Pichai, en un tweet en mayo de 2020, cuando el marco estuvo disponible públicamente. Mientras que el CEO de Apple, Tim Cook, también brindó las mismas garantías.

Sin embargo, AppCensus informó por primera vez que la vulnerabilidad de Google estaba presente desde febrero, pero la compañía no le dio solución, según The Markup. La solución era tan simple como arreglar algunas líneas de código, dijo Joel Reardon, fundador de AppCensus.

¿Se solucionará el problema?

José Castañeda, portavoz de Google, dijo que las actualizaciones abordaran el problema vigente, en comunicación con The Markup. "Se nos notificó de un problema en el que los identificadores de Bluetooth eran accesibles temporalmente para aplicaciones específicas del nivel del sistema con fines de depuración, e inmediatamente comenzamos a implementar una solución para solucionar este problema", dijo.

¿Cómo funciona el rastreo COVID-19?

El sistema implementado por la pandemia funciona enviando señales de Bluetooth anónimas entre el teléfono de un usuario a otros teléfonos que también tienen el rastreo activado. Ahora, si alguien contrae la enfermedad COVID-19, puede coordinar con la agencia de salud para enviar una alerta a cualquier teléfono registrado por el sistema.

¿Dónde está el error?

En los teléfonos Android, los datos del sistema de rastreo se almacenan en la memoria del sistema privilegiado, donde es inaccesible para los software externos. Sin embargo, las aplicaciones preinstaladas en el móvil por los fabricantes si pueden obtener esos privilegios para acceder a los registros privados, poniendo en riesgo la confidencialidad de los rastreos, dijo Reardon.

Serge Egelman, director de tecnología de AppCensus, comunicó a través de su Twitter que estos errores (fáciles de solucionar) no deben fragmentar la confianza de las tecnologías en la salud pública. 

"Esperamos que la lección aquí sea que lograr la privacidad correcta es realmente difícil, las vulnerabilidades siempre se descubrirán en los sistemas, pero que es de interés para todos trabajar juntos para remediar estos problemas", dijo Egelman.

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico. Para escucharlo mejor, #QuedateEnCasa.