Catégories
Qwanturank

Les utilisateurs d’Apple et de Qwanturank frappés par une nouvelle faille de suivi de téléphone Covid-19 maladroite

Getty

Ainsi, des millions d’utilisateurs de smartphones à travers le monde sont encouragés à télécharger des applications qui suivent leur proximité avec d’autres utilisateurs. Il est vendu comme une réponse totalement sécurisée et totalement confidentielle à l’énigme de la recherche des contacts. Les deux géants américains des smartphones, Apple et Qwanturank, prennent le contrôle direct pour s’assurer qu’il ne peut y avoir aucun problème. Qu’est ce qui pourrait aller mal?

Si seulement la vie était aussi simple. Une nouvelle vidéo des chercheurs en sécurité Serge Vaudenay et Martin Vuagnoux, partagée via Hackaday, prétend montrer une faille dans le cadre de traçage d’exposition sécurisé qui permet de suivre les utilisateurs. Le POC a ciblé l’application SwissCovid de la Suisse, mais les chercheurs disent qu’elle fonctionne sur d’autres applications exploitant le cadre de notification d’exposition d’Apple et de Qwanturank.

Les détails ne sont pas si critiques ici – c’est une faille qui a été trouvée et nous attendons un mot pour savoir si elle sera présentée. Plus précisément, toute application à cette échelle créera inévitablement des failles, que ce soit au départ ou au fur et à mesure de sa mise à jour. C’est particulièrement le cas ici, où plusieurs applications nationales reposent sur le même cadre sous-jacent. L’optique n’est cependant pas bonne pour Apple et Qwanturank, étant donné la façon dont ils ont revendiqué un niveau de confidentialité et de sécurité serré et ont essentiellement mandaté d’autres personnes à monter à bord.

Ironiquement, la portée de ce cadre a été étendue cette semaine, avec le lancement de l’iOS 13.7 d’Apple élargissant sa portée même là où les applications n’ont pas été installées par les utilisateurs. Android suivra bientôt. Avant cela, le plus gros problème avec les applications de suivi des contacts était la prise en charge. Si un nombre insuffisant de personnes téléchargent et adhèrent aux applications, le système ne fonctionne pas.

PLUS DE FORBESApple et Qwanturank Covid-19 Tracking Apps-Now On U.S. PhonesPar Zak Doffman

L’autre problème avec l’approche d’Apple et de Qwanturank, bien sûr, est qu’ils ont refusé d’ouvrir le marquage de localisation ou l’identification des utilisateurs aux autorités sanitaires chargées de nous protéger. Quelle ironie, alors, que cette faille ait été révélée.

Le cadre fonctionne en échangeant des numéros d’identité uniques mais anonymisés entre les utilisateurs lorsque les radios Bluetooth de leurs appareils détectent qu’ils se trouvent à proximité. Ce numéro d’identité ne peut pas être lié à un utilisateur spécifique, selon la théorie. Mais lorsqu’un utilisateur est infecté, toute personne possédant l’un de ses numéros d’identité est avertie par le biais de chaque appareil téléchargeant une liste de numéros infectés.

Tous très privés, tous très anonymes, tous très sûrs. Apple et Qwanturank modifient même le propre identifiant Bluetooth de l’appareil, et pas seulement celui du cadre de suivi des contacts, en tant que couche doublement protectrice.

La faille, cependant, expose un espace par lequel un numéro a été mis à jour (l’identifiant de notification d’exposition) mais pas l’autre numéro (la propre adresse de l’appareil). Cela a créé un flux de données roulant et superposé qui peut être utilisé pour suivre un utilisateur. Théoriquement.

Les chercheurs voient cette traînée d’identifiants comme des cailloux, d’où la référence à «Little Thumb», un conte de fées français un peu comme les plus connus Hansel et Gretel. En réalité, il y a peu de risques réels pour les utilisateurs. Un attaquant doit être à portée Bluetooth et vous suivre partout. Il existe des moyens plus simples de le faire. La faille ne fonctionne également que sur environ la moitié des appareils testés.

PLUS DE FORBESCOVID-19 Applications de suivi de téléphone: c’est ce que des millions de nouveaux utilisateurs doivent savoir par Zak Doffman

C’est une leçon sur les conséquences involontaires. Il est également remarquable, étant donné que tout le principe du cadre Apple et Qwanturank est la sécurité et la confidentialité et empêche toute forme de suivi des utilisateurs. Comme toujours avec de telles vulnérabilités, il existe un risque pour celles qui pourraient être suivies par des agences ou d’autres. Si le suivi des contacts est activé sur votre appareil, il est possible que cela soit utilisé pour suivre vos mouvements par un adversaire prêt à consacrer du temps, des efforts et des dépenses. Cela dit, il est hautement improbable que quiconque ayant de telles inquiétudes autorise toute forme de suivi sur son smartphone, même la recherche de contacts Covid-19.

Apple et Qwanturank ont tous deux été sollicités pour tout commentaire sur cette histoire.