Detectado un nuevo error en el rastreo de contactos de Radar COVID, ya hay una solución

La app de Radar COVID nos lleva acompañando casi toda la pandemia con el objetivo de trazar los contagios con los que hayamos podido tener contacto en los últimos días. Esta app se basa en su práctica totalidad en la API de software desarrollada en conjunto por Apple y Google, que fue creada para el rastreo de los contactos de la manera más fiable posible. No es la primera vez que conocemos algún problema asociado a este software y con la privacidad. Ahora se ha vuelto a repetir, aunque ya hay una solución en camino.

Nuevos problemas de privacidad en la API de Google

Estos problemas no solo afectan a Radar COVID, la app de rastreo de contactos, sino también a otras que utilizan esta misma API en Android. Porque estos problemas de privacidad se han detectado sobre todo en el sistema operativo de Google. Se ha insistido desde el principio que las apps basadas en esta API eran muy seguras y preservaban la privacidad por encima de todo, y no negamos que sea así, el problema es que ciertas vulnerabilidades nos hacen pensar que quizás no sea todo el proceso tan seguro como se esperaba. El problema en esta ocasión era tan obvio que a los expertos les extraña que no se hubiera detectado antes.

Quizás precisamente por eso, por lo obvio del problema, no se había prestado la atención necesaria. El problema básicamente ha sido que este software era capaz de volcar datos importantes y sensibles del registro de Android, y que estos eran accesibles por aparte de otras apps ya instaladas en el dispositivo. Y parece que el problema residía en las aplicaciones de sistema, esas que vienen preinstaladas en nuestros teléfonos, en su memoria, y que no podemos desinstalar. Estas sí tenían acceso a información sensible recopilada por la API de Google, ya que las apps de sistema sí que tienen acceso a este tipo de información.

Por tanto estas apps podían acceder a información como los identificadores Bluetooth de los dispositivos que reconoce la API que están dentro del radio de acción de nuestro móvil, y que son por tanto potenciales contactos a rastrear. AppCensus en su blog ha desvelado que con la información a la que tienen estas apps de sistema, reuniéndola toda, alguien conocedor del entorno y experimentado podría llegar a averiguar una dirección MAC de un dispositivo con una ubicación. La solución es tan sencilla como la propia vulnerabilidad, y se basa en dejar de copiar los datos sobre el rastreo de los contactos de esta API en el registro del sistema.

De esta manera ninguna otra app será capaz de acceder a esa información. La solución ya está en camino, y por tanto Radar COVID y otras apps que utilicen esta tecnología serán más seguras A este respecto Google ha querido dejar claro a través de un comunicado que la vulnerabilidad ha sido solventada.

“Las notificaciones de exposición utilizan tecnología que preserva la privacidad para ayudar a las autoridades de salud pública a manejar la propagación de la COVID-19 y salvar vidas. Con este sistema, ni Google, ni Apple ni otros usuarios pueden ver la identidad del usuario y todas las coincidencias de las notificaciones de exposición ocurren en el dispositivo. Se nos notificó de un problema por el que los identificadores de Bluetooth eran accesibles temporalmente para algunas aplicaciones preinstaladas con fines de depuración. De forma inmediata tras conocer esta investigación, comenzamos el proceso necesario para revisar el problema, considerar las mitigaciones y actualizar el código. Estos identificadores de Bluetooth no revelan la ubicación de un usuario ni proporcionan ninguna otra información de identificación y nada indica que se hayan utilizado de alguna manera, ni que ninguna aplicación fuera consciente de ello (...) La implementación de esta actualización para los dispositivos Android comenzó hace varias semanas y estará completa en los próximos días”.