Un grupo de investigadores reporta el hallazgo de múltiples fallas de seguridad en el soporte de Google para las aplicaciones de rastreo de contactos que podrían exponer información confidencial. Los expertos reportan que estas fallas residen en el marco de notificaciones de exposición Google-Apple (GAEN), financiado por el Departamento de Seguridad Nacional de E.U. (NHS). Este es un marco que permite a los usuarios llevar un seguimiento de los contagios de coronavirus registrados en los lugares que visitan.
GAEN ofrece un sistema descentralizado para aplicaciones móviles de rastreo de contactos basadas en Bluetooth. El marco está diseñado para ayudar a las autoridades de salud pública a gestionar la propagación del coronavirus y salvar vidas. Con el sistema de notificación de exposición, ni Google, Apple ni otros usuarios pueden ver la identidad del usuario, ya que todo el registro ocurre en el dispositivo de un usuario.
Los expertos de AppCensus han enfatizado que no existe problema alguno con las aplicaciones de rastreo de contactos COVID-19, aunque lo que les preocupa es la implementación de Google de lo que se suponía que era una tecnología de preservación de la privacidad.
Este hipótesis se basa en que las aplicaciones basadas en el enfoque GAEN, desarrollado en conjunto por Apple y Google, pueden presentar severas fallas de seguridad, además de que la implementación GAEN de Google registra información confidencial.
Si bien estos datos podrían ser leídos por cientos de aplicaciones de terceros, las aplicaciones descargadas de la tienda Google Play no pueden acceder a los registros del sistema desde 2012. Aún así, Google permite a los desarrolladores de smartphones, operadores de red y sus socios comerciales preinstalar aplicaciones con altos privilegios en el sistema, mencionan los expertos.
Este es un problema particular debido a que los registros contienen identificadores de proximidad progresivos (RPI), que se transmiten desde otros dispositivos ejecutando la aplicación de rastreo de contactos que están dentro del alcance del dispositivo de un usuario. El registro también contiene detalles de los RPI, que cambian aproximadamente cada 15 minutos; como resultado final, las aplicaciones desarrolladas por fabricantes de dispositivos como Samsung y Xiaomi con la capacidad de leer registros del sistema también pueden acceder a datos confidenciales de dispositivos que ejecutan aplicaciones de rastreo basadas en Bluetooth.
Los expertos no afirman que la culpa sea de los fabricantes de dispositivos, ya que afirman que esto se debe al registro de datos confidenciales en el registro del sistema en primer lugar, lo que con seguridad resultará en la implementación inadecuada del mecanismo GAEN por parte de Google.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.