Hace ya un año que Google y Apple anunciaron una alianza histórica contra la mayor pandemia de las últimas décadas, la de la COVID-19. Ambas empresas dejaron atrás su rivalidad para crear un sistema único de rastreo de contacto, 'contact tracing' para evitar la propagación del nuevo coronavirus.
El sistema implica que nuestro teléfono móvil, sin importar si usa iOS o Android, está constantemente conectando con dispositivos de personas cercanas, asignándoles una clave única. Si en los 14 días siguientes, una de esas personas indica positivo en COVID-19, el sistema es capaz de avisar a quienes estuvieron cerca de ella automáticamente.
Desde el principio, las implicaciones para la privacidad eran evidentes; el miedo era que se convirtiese en un método para rastrear a personas. Para evitarlo, Google y Apple implementaron varias medidas, como el uso de claves temporales que no se comparten con un servidor central y que cambian constantemente. Además, han evitado que los gobiernos obtengan los datos de localización, llegando a bloquear una actualización de la app británica.
Rastreo de COVID
Sin embargo, un 'bug' en Android puede haber hecho inútiles todas esas medidas. Investigadores de seguridad de la firma AppCensus han descubierto que el sistema de Google permite el acceso a registros privados relacionados con el rastreo de COVID a determinadas aplicaciones.
En concreto, el problema está en las apps preinstaladas en Android, las que ya vienen en el móvil cuando las compramos; afecta no sólo a las apps de Google que vienen en casi todos los dispositivos, sino también a las apps que son instaladas por fabricantes y compañías como parte de promociones, llamadas comúnmente 'bloatware'.
Estas apps tienen acceso a los registros del rastreo de COVID del móvil, datos que están fuera del alcance del resto y sólo pueden ser usados por las apps oficiales de los gobiernos, como Radar COVID en el caso de España.
Las apps que vienen preinstaladas tienen acceso a los registros del sistema, archivos que registran todo lo que ocurre en el dispositivo, como datos de uso o informes de fallos; estos permisos normalmente son necesarios para encontrar posibles problemas de uso y generar informes de fallos. Sin embargo, los investigadores descubrieron que los registros también incluyen la información del rastreo de contactos.
Entre los datos que se pueden leer se encuentran los eventos que ocurren cuando una persona está en contacto con alguien que dio positivo por COVID-19; también se incluyen datos identificativos, como el nombre del dispositivo, la dirección MAC de la conexión de red, y el identificador de publicidad usado por las apps para rastrear a usuarios.
Google lo sabía
El estudio descubrió que más de 400 apps preinstaladas en móviles de Samsung, Motorola, Huawei y otras compañías tenían acceso a toda esa información. Sin embargo, los investigadores aclaran no hay pruebas de que ninguna de esas apps haya obtenido datos; de hecho, nadie sabía que eso era posible y por lo tanto, es poco probable que alguna app se haya aprovechado de ello.
Más preocupante es que este 'bug' aún sigue presente en Android, y todo, según los investigadores, porque Google desestimó su descubrimiento repediamente, y no lo arregló entonces pese a haber sido informada el pasado mes de febrero. La compañía ha explicado que esto quedará solucionado en los "próximos días".
"Las notificaciones de exposición utilizan tecnología que preserva la privacidad para ayudar a las autoridades de salud pública a manejar la propagación de la COVID-19 y salvar vidas. Con este sistema, ni Google, ni Apple ni otros usuarios pueden ver la identidad del usuario y todas las coincidencias de las notificaciones de exposición ocurren en el dispositivo. Se nos notificó de un problema por el que los identificadores de Bluetooth eran accesibles temporalmente para algunas aplicaciones preinstaladas con fines de depuración. De forma inmediata tras conocer esta investigación, comenzamos el proceso necesario para revisar el problema, considerar las mitigaciones y actualizar el código. Estos identificadores de Bluetooth no revelan la ubicación de un usuario ni proporcionan ninguna otra información de identificación y nada indica que se hayan utilizado de alguna manera, ni que ninguna aplicación fuera consciente de ello. Tenemos un proceso estándar para este tipo de investigación. Inmediatamente después de conocerla, comenzamos el proceso necesario para revisar el problema, considerar las mitigaciones y actualizar el código. La implementación de esta actualización para los dispositivos Android comenzó hace varias semanas y estará completa en los próximos días", ha explicado un portavoz de Google.
Los investigadores afirman estar "atónitos" ante la reacción de Google, especialmente porque la solución es muy sencilla y requiere sólo cambiar una línea de código que no afecta al funcionamiento del rastreo de COVID ni al funcionamiento de Android.
Ante esto, los investigadores han decidido hacer público su descubrimiento en el medio The Markup para presionar a la compañía a reaccionar. Y justo entonces, Google por fin ha admitido la existencia de este problema.
Google ha confirmado que fue informada de este problema, y que ya ha lanzado una solución; sin embargo, por la manera en la que funcionan las actualizaciones de Android, se espera que pasen semanas hasta que todos los dispositivos la reciban. Por otra parte, los investigadores no han encontrado el mismo error en iOS y por lo tanto, los iPhone y sus apps preinstaladas no pueden acceder a esos datos privados.