CoronaMelder lekt toch privacydata door misser bij Google
Google slaat privacygevoelige gegevens op van apps die wereldwijd worden gebruikt om mensen te waarschuwen wanneer zij in contact zijn geweest met Covid-19-patiënten. Google weet al sinds februari van het probleem, maar heeft er nog niets aan gedaan.
© Rijksoverheid
Rijksoverheid
De vrees dat Google en Apple aan de haal gaan met gegevens van de CoronaMelder-apps die in veel landen in gebruik zijn, lijkt wat betreft Google nu bewaarheid te worden. Ondanks het feit dat beide technologieproviders altijd hebben bezworen dat de gegevens anoniem verwerkt zouden worden, blijken ze toch benaderbaar voor de apps die Google standaard meelevert met het Android-besturingssysteem. Er zijn geen aanwijzingen dat bij Apple hetzelfde aan de hand is.
Het alarmerende bericht komt van de techsite The Markup. Het blijkt dat Google al op 19 februari was gewezen op het probleem door privacy-onderzoeksbedrijf AppCensus. Dat kwam achter de slordigheid van Google door een grondige analyse van het systeem in opdracht van het Amerikaanse Department of Homeland Security. De medeoprichter en hoofdonderzoeker van AppCensus zegt dat het probleem eenvoudig te verhelpen is. Er moet slechts een regel code worden verwijderd, die ervoor zorgt dat gevoelige informatie wordt geregistreerd in de system log. Het verwijderen van die regel heeft geen gevolgen voor de werking van de software. Toch heeft Google maanden verzuimd iets te doen aan het probleem.
400 apps hadden potentieel toegang
Google ontkent dit overigens via een e-mail van een woordvoerder aan The MarkUp. "We werden erop gewezen dat Bluetooth identifiers tijdelijk toegankelijk waren voor speciale apps die toegang hebben op systeemniveau om het debugging-proces mogelijk te maken. We hebben onmiddellijk een fix uitgerold om dit probleem uit de wereld te helpen."
AppCensus zegt echter dat Google de afgelopen maanden bij herhaling de problemen heeft ontkent en niet in actie is gekomen totdat The MarkUp vorige week de zaak aankaartte bij het bedrijf. De update zou nu binnen enkele dagen voor alle Android toestellen beschikbaar moeten zijn.
Volgens de analyse hadden zo'n 400 systeemapps van Google zelf of van de hardware-partners zoals Samsung, Huawei en Motorola toegang tot gegevens van toestellen waar mee een contact was geïdentificeerd via de Bluetooth-signalen. Het gaat om gegevens als de naam van het toestel, het MAC-adres en de advertising IDs van andere apps op dat toestel. Het zou mogelijk zijn geweest voor de systeemapps om deze informatie op te halen en te versturen naar de servers van het eigen bedrijf. Google ontkent dat zoiets is gebeurd, maar AppCensus vindt dat Google die claim niet kan maken.
Een vraag van ANP om een reactie van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft nog niets opgeleverd.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee