Bogue de confidentialité détecté dans Apple, Google COVID-Tracing Framework

En avril, les géants de la technologie Apple et Google se sont associés pour consacrer leurs ressources combinées considérables au développement d'une solution de traçage COVID-19. Pour ceux qui optent pour cette solution, la solution utilise automatiquement les propres smartphones des gens pour garder un œil sur leur proximité avec d'autres téléphones et avertit les utilisateurs si une personne à proximité a un diagnostic confirmé.

Cependant, un exploit a été découvert dans le projet à source fermée qui pourrait alimenter les craintes concernant les téléphones Apple et Google qui surveillent automatiquement la proximité d'une personne avec les autres de manière constante.

Bogue de confidentialité détecté dans Apple, Google COVID-Tracing Framework

Serge Vaudenay (EPFL) et Martin Vuagnoux (base23) ont posté cette semaine une vidéo sur Vimeo (via Hackaday) qui démontre l’exploit, qu’ils ont découvert dans l’application de traçage suisse SwissCovid, basée sur le code fourni par le framework Apple / Google.

L'attaque « Little Thumb » tire son nom de l'histoire française classique (semblable à Hansel et Gretel). dans lequel un garçon laisse des cailloux pour marquer sa trace. En effet, les créateurs de la vidéo ont découvert que le système basé sur Bluetooth LE laisse ce qu’ils appellent de petits cailloux de données, qui peuvent être utilisés pour suivre les mouvements de quelqu'un et potentiellement les identifier.

Pour l’essentiel, ils ont constaté que l’adresse numérique de Bluetooth LE et le propre ID de proximité glissant du framework ne se mettaient pas nécessairement à jour en même temps, laissant de petites fenêtres dans lesquelles l’adresse Bluetooth correspond à l’ancien ID, un caillou à tracer. Ils ont pu écouter les messages jusqu'à 50 mètres en utilisant une « antenne basique et bon marché », ont-ils écrit.

« Il s'agit d'une capture Bluetooth réelle et passive de SwissCovid. Un adversaire est capable de corréler l'ancien et le nouveau BR_ADDR et RPI grâce au message « caillou » au milieu « , lit-on dans la vidéo. « Ainsi, l'adversaire peut suivre en permanence l'utilisateur de l'application SwissCovid. Cela ne devrait pas se produire pendant plus de 15 minutes.  »

Alors qu'ils ont découvert le problème pour la première fois dans l'application SwissCovid, ils ont confirmé que l'exploit fonctionnait avec d'autres applications créées à l'aide du cadre Apple / Google: l'Immuni en Italie, le Corona-Warn en Allemagne et le Stopp Corona en Autriche. Avec SwissCovid, l'attaque a fonctionné sur cinq des huit téléphones compatibles qu'ils ont testés.

L'application SwissCovid est open-source, mais le cadre de notification d'exposition Google Apple (GAEN) derrière elle et de nombreuses autres applications de ce type est à code source fermé – et il n'y a aucun moyen pour les étrangers de le corriger. La vidéo note que bien qu'Apple et Google aient publié un extrait de code inachevé pour le framework, ce n'est pas un projet véritablement open-source, ce qui signifie que la communauté ne peut pas auditer le code et résoudre des problèmes potentiels comme ceux-ci.

Certains développeurs ont essayé d'utiliser la blockchain pour sécuriser les applications de traçage et de suivi des symptômes COVID-19. Des applications à plus petite échelle ont été conçues pour essayer d'aider les utilisateurs, telles que CoronaTracker, et les législateurs californiens ont proposé un système de traçage basé sur la blockchain à l'échelle de l'État.

Cependant, l'Electronic Frontier Foundation (EFF) et l'American Civil Liberties Union (ACLU) se sont prononcés contre un système basé sur la blockchain, citant des problèmes potentiels de confidentialité. « En bref, ce projet de loi est une solution blockchain à la recherche d'un problème, et COVID-19 est un problème qui ne sera pas si facilement résolu », a déclaré l'avocat senior de l'EFF, Adam Schwartz, en août.

Tags: