Une faille potentielle découverte sur le système de notification d'exposition COVID-19 d'Android pourrait permettre aux applications préinstallées d'accéder à des informations sensibles. Cela peut inclure des détails personnels sur le statut COVID-19, les identifiants publicitaires et d'autres identifiants d'appareil.

Société de recherche sur la confidentialité AppCensus (Rue Le bord) a révélé le problème dans un article de blog mardi, mais a d'abord alerté Google de la découverte en février.

Les applications de suivi de l'état COVID-19 utilisent le système de notifications d'exposition pour alerter les utilisateurs s'ils ont été proches d'individus infectés. Ces données sont stockées dans un état privilégié sur les téléphones Android & # 39; les journaux système, ce qui signifie que les applications courantes ne peuvent pas lire ces informations. Cependant, AppCensus note que de nombreuses applications préinstallées sur Android bénéficient d'un statut privilégié et peuvent avoir accès à des autorisations supplémentaires. L'un de ceux-ci comprend la possibilité de lire les journaux système et éventuellement les données de notification d'exposition.

«Un Xiaomi Redmi Note 9 de série, par exemple, a 77 applications préinstallées que nous avons identifiées, dont 54 ont l'autorisation READ_LOGS», note AppCensus. «Un Samsung Galaxy A11 avait 131 applications privilégiées, dont 89 avaient READ_LOGS.»

En utilisant ces informations, ainsi que les identifiants de proximité d'autres utilisateurs & # 39; appareils et clés d'exposition temporaires personnelles, pourraient théoriquement permettre de déterminer l'état de santé d'un utilisateur. Cependant, rien n'indique que des applications aient collecté ces données.

«  Il s'agit d'un problème résoluble ''

AppCensus ne tarde pas à souligner que le système de notification d'exposition dans son ensemble n'est pas un problème de confidentialité, mais plutôt sa mise en œuvre par Google sur Android. «Pour être tout à fait clair: c'est un problème réparable», souligne le cabinet d'études. Il suggère à Google d'interdire la journalisation inutile des données d'exposition sur les appareils Android «dès que possible». Il n'a également trouvé aucun problème avec la mise en œuvre d'Apple sur iOS.

Selon Le bord, en citant Le balisage, Google travaille sur un correctif qui est actuellement "en cours", mais on ne sait pas quand il sera diffusé au public.