El sistema de datos diseñado por Google para hacer seguimiento del COVID-19 tiene un importante fallo de seguridad, pese a que la compañía afirmó que las aplicaciones que utilizan esta API (y que han sido descargadas por decenas de millones de usuarios) serían completamente seguras.
Esta vulnerabilidad de seguridad ha sido reportada por The Markup y se basa en un análisis realizado por una empresa llamada AppCensus. El informe, además, explica que el problema fue reportado a Google en febrero y que, hasta la fecha, la compañía de Mountain View no ha hecho nada para resolverlo.
Según los analistas, la vulnerabilidad tiene que ver principalmente con un error de implementación y no con la forma en que todo el framework ha sido diseñado. De la misma manera, la solución es algo sencillo —en el marco de un sistema tan complejo como este— e implica “quitar una línea de código que ingresa información sensible al registro del sistema”, de acuerdo a Joel Reardon, uno de los analistas detrás del informe.
Más importante aún, en AppCensus aseguran que Google descartó las alertas respecto al problema y que solo tomaron medidas reactivas cuando The Markup comenzó a hacer preguntas. Por el momento, la respuesta oficial de Google es que están al tanto del asunto, que trabajan en una solución que poco a poco se entregará en forma actualización de seguridad para Android y que “se completará en las semanas siguientes”.
El problema en cuestión
Lo que hay detrás de la vulnerabilidad es sencillo de entender. El sistema creado por Google registra, vía conexiones Bluetooth, si el usuario de un teléfono ha estado en contacto con una persona infectada con COVID-19, además almacena algunos detalles como la dirección MAC o el nombre del equipo. Hasta ahí todo está bien, excepto que a dicha información también pueden acceder otras aplicaciones de terceros, en especial algunas instaladas de fábrica en teléfonos de distintas marcas.
En AppCensus dicen que hasta ahora no hay evidencia de que aplicaciones de terceros con acceso a la información sensible hayan recopilado dichos datos, pero que en la práctica, estas no tienen ningún impedimento para poder hacerlo. Además, también mencionan que este problema aparece solo en Android y que no se ha detectado una situación similar con la versión para iPhone.
Lo cierto es que esta situación posiblemente requiera alguna respuesta pública de parte de Google, ya que en 2020 aseguraron que se haría lo posible por proteger la privacidad de los usuarios, de cara a algo tan grave como el COVID-19.