[API, Информационная безопасность, Разработка мобильных приложений] Во фреймворке Apple/Google для отслеживания контактов больных коронавирусом нашли уязвимость
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Исследователи безопасности опубликовали видео, демонстрирующее, как небольшая задержка в передаче данных в системе отслеживания контактов COVID от Apple/Google может раскрыть данные пользователей таких приложений.
Система передает хэшированные, меняющиеся идентификаторы, которые не позволяют отслеживать отдельный телефон в течение более чем 15 минут.
На смартфонах пользователей приложения запускается BLE-сервис с service UUID и characteristic UUID, особым кодом, определяющим протокол отслеживания контактов. Телефоны периодически ищут по Bluetooth другие устройства с фиксированными service UUID и characteristic UUID, а при контакте протокол передает анонимные идентификаторы устройств друг другу.
Идентификатор меняется каждые 10 минут, а mac-адрес Bluetooth LE меняется в интервале 15-20 минут. В этот момент становится возможным привязать идентификаторы ко времени. Это уже позволяет отслеживать перемещения конкретных людей.
Проблема синхронизации затрагивает, однако, не все телефоны, а примерно половину из тестового набора.
Независимые исследователи не могут выпустить патч, поскольку протокол Apple/Google имеет закрытый исходный код, хотя большинство приложений на нем работают с открытым кодом. Разработчики призвали открыть код, чтобы в нем было быстрее и проще искать уязвимости.
Ранее выяснилось, что при внедрении приложений для борьбы с распространением коронавируса на API от Apple и Google система требует от пользователей устройств на Android включить определение местоположения. Ряд европейских правительств требовал от Google объяснений по этому поводу.
===========
Источник:
habr.com
===========
Похожие новости:
- [*nix, Open source, Информационная безопасность, Настройка Linux, Серверное администрирование] Freeradius + Google Autheticator + LDAP + Fortigate
- [Разработка под iOS, IT-компании] Японские разработчики мобильных приложений пожаловались на проблемы при работе с App Store и поддержали Epic Games
- [Информационная безопасность] Особенности работы Postfix
- [Информационная безопасность, Платежные системы] 3D Secure, или что скрывают механизмы безопасности онлайн-платежей
- [Информационная безопасность, Исследования и прогнозы в IT, Научно-популярное] Как кибербезопасность трансформирует рынок ИТ (часть 3)
- [Контекстная реклама, Разработка под iOS] Apple отложила введение ограничений приватности в iOS 14 из-за жалоб Facebook
- [Google Chrome, Браузеры, Звук] RED: Улучшение качества звука с помощью резервирования (перевод)
- [Amazon Web Services, Облачные сервисы, Информационная безопасность, Хранение данных] 54 000 сканов водительских удостоверений австралийцев утекли в сеть
- [Python, Data Mining, Открытые данные] Black [O]lives Matter: раса, криминал и огонь на поражение в США. Часть 2
- [Информационная безопасность, IT-компании] Минуту внимания, мы засекали
Теги для поиска: #_api, #_informatsionnaja_bezopasnost (Информационная безопасность), #_razrabotka_mobilnyh_prilozhenij (Разработка мобильных приложений), #_api, #_apple, #_google, #_framework, #_otslezhivanie_polzovatelej (отслеживание пользователей), #_mobilnye_prilozhenija (мобильные приложения), #_koronavirus (коронавирус), #_api, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_razrabotka_mobilnyh_prilozhenij (
Разработка мобильных приложений
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 00:12
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Исследователи безопасности опубликовали видео, демонстрирующее, как небольшая задержка в передаче данных в системе отслеживания контактов COVID от Apple/Google может раскрыть данные пользователей таких приложений. Система передает хэшированные, меняющиеся идентификаторы, которые не позволяют отслеживать отдельный телефон в течение более чем 15 минут. На смартфонах пользователей приложения запускается BLE-сервис с service UUID и characteristic UUID, особым кодом, определяющим протокол отслеживания контактов. Телефоны периодически ищут по Bluetooth другие устройства с фиксированными service UUID и characteristic UUID, а при контакте протокол передает анонимные идентификаторы устройств друг другу. Идентификатор меняется каждые 10 минут, а mac-адрес Bluetooth LE меняется в интервале 15-20 минут. В этот момент становится возможным привязать идентификаторы ко времени. Это уже позволяет отслеживать перемещения конкретных людей. Проблема синхронизации затрагивает, однако, не все телефоны, а примерно половину из тестового набора. Независимые исследователи не могут выпустить патч, поскольку протокол Apple/Google имеет закрытый исходный код, хотя большинство приложений на нем работают с открытым кодом. Разработчики призвали открыть код, чтобы в нем было быстрее и проще искать уязвимости. Ранее выяснилось, что при внедрении приложений для борьбы с распространением коронавируса на API от Apple и Google система требует от пользователей устройств на Android включить определение местоположения. Ряд европейских правительств требовал от Google объяснений по этому поводу. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_razrabotka_mobilnyh_prilozhenij ( Разработка мобильных приложений ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 00:12
Часовой пояс: UTC + 5