La società di analisi AppCensus ha rivelato ieri di aver scoperto una falla nell’API di tracciamento dei contatti sviluppata congiuntamente da Google e Apple. Il problema però riguarda la sola versione Android, che secondo AppCensus metterebbe a rischio i dati sensibili raccolti dalle applicazioni di tracciamento.

Google è già al lavoro

Nonostante le ripetute promesse effettuate da Sundar Pichai, CEO di Google, e Tim Cook, CEO di Apple, sembra dunque che i dati raccolti dal sistema non siano stati al sicuro, come invece i due dirigenti avevano lasciato intendere. La prima segnalazione sulla vulnerabilità è stata inviata a Google già nel mese di febbraio, senza che la compagnia di Mountain View avesse corretto il problema.

Google ha finalmente affermato di aver già iniziato il roll out della patch (probabilmente attraverso un aggiornamento dei Google Play Services) che dovrebbe correggere il problema, ma non si spiega il motivo di tale ritardo. Secondo Joel Reardon, co-fondatore e leader degli analisti forensi di AppCensus, bastava rimuovere alcune linee di codice non essenziali per porre rimedio alla situazione: “È una correzione così ovvia, e sono rimasto sbalordito che non sia stata vista subito la soluzione“.

Come sottolinea José Castañeda, portavoce di Google, la compagnia è stata avvisata di un problema legato agli identificatori Bluetooth, che potevano essere temporaneamente accessibili ad alcune app di sistema. I dati di tracciamento raccolti su Android sono salvati nella memoria di sistema privilegiata, inaccessibile alla maggior parte del software in esecuzione sullo smartphone.

Le applicazioni preinstallate dai produttori però godono di privilegi speciali che permettono loro di accedere ai log, mettendo così a rischio la privacy dei dati raccolti. Al momento comunque non ci sono evidenze che tale falla sia mai stata utilizzata da alcuna applicazione, per cui i dati degli utenti che utilizzano l’API di tracciamento dovrebbero essere al sicuro.

Nessun problema invece per quanto riguarda le notifiche di esposizione su iOS, grazie a una diversa implementazione del sistema. Come sottolinea il capo ingegnere di AppCensus, Serge Egelman, il problema non è relativo al framework delle notifiche di esposizione, quanto piuttosto all’implementazione su Android. Questo conferma come sia difficile garantire il pieno rispetto della privacy, ma con l’aiuto di sviluppatori e società di sicurezza è possibile risolvere rapidamente i problemi evidenziati.

Potrebbe interessarti: Apple e Google rilasciano la prima versione dell’API per il tracciamento del COVID-19