Durant la pandémie de COVID – 19, Google et d’autres entreprises technologiques géantes ont mis l’accent sur une application permettant d’attirer des contacts afin d’aider à prévenir les personnes susceptibles d’avoir été exposées au virus.
Lorsque l’application a été dévoilée, Google a promis qu’elle était totalement privée, mais des chercheurs ont découvert qu’elle ne l’était pas autant que Google l’avait laissé entendre.
Selon les chercheurs, des centaines d’applications préinstallées sur des smartphones et d’autres appareils pouvaient accéder à un journal trouvé sur les appareils Android où sont stockées des informations sensibles de suivi des contacts.
Les chercheurs affirment que Google a assuré aux utilisateurs que les données générées à l’aide de leurs applications, y compris les mouvements des personnes avec lesquelles ils ont pu entrer en contact et le fait qu’elles aient déclaré être positives ou non au test COVID-19, étaient anonymes et ne seraient partagées avec personne d’autre que les organismes de santé. Depuis que les applications sont disponibles, des millions de personnes dans le monde les ont téléchargées.
Il apparaît que ces applications ne sont pas aussi sûres ou privées qu’Apple et Google voudraient le faire croire, en particulier dans la version Android.
Dans la version Android, une faille dans la protection de la vie privée a été découverte par des chercheurs de la société d’analyse de la vie privée AppCensus. La société d’analyse a alerté Google du problème en février de cette année, mais a déclaré que Google était incapable de le résoudre.
Quand la faille a été découverte, AppCensus testait le système dans le cadre d’un contrat avec le ministère de la sécurité intérieure.
L’entreprise affirme clairement qu’aucun problème de confidentialité n’a été détecté avec la version iPhone du cadre de suivi des contacts.
Beaucoup seront contrariés par le fait que Google n’ait pas corrigé le problème dans son application Android car, selon les chercheurs, il s’agit d’une opération d’une seule ligne qui nécessite que les programmeurs suppriment la ligne qui enregistre les informations sensibles dans le journal du système.
Selon les chercheurs, cette modification n’affectera pas le programme et ne changera pas son fonctionnement, ce qui en fait une “solution évidente”.
Google dit avoir été informé d’un problème où les informations d’identification Bluetooth étaient temporairement accessibles à des applications spécifiques au niveau du système à des fins de débogage et a commencé à appliquer le déploiement “immédiatement.”
Lorsqu’on lui a demandé directement si le problème de sécurité avait été résolu, un porte-parole de Google a déclaré à The Markup que le déploiement d’une mise à jour pour les appareils Android a commencé il y a plusieurs semaines et serait terminé “dans les prochains jours.”
