GoogleのCOVID-19接触通知システムで、プライバシーリスクにつながるデータがサードパーティーのプリインストールアプリから読み取れる状態になっていたそうだ(The AppCensus Blogの記事、 The Markupの記事、 The Vergeの記事、 SlashGearの記事)。

問題のデータは近くにいるユーザー同士が送受信する近接識別子「Rolling Proximity Identifier (RPI)」と、RPIを送ってきたユーザーのMACアドレスだ。GoogleのシステムではこれらのデータをAndroidのシステムログへ書き込むようになっていたという。ユーザーがインストールしたアプリはシステムログを読み取ることはできないが、プリインストールアプリは読み取り可能だ。発見者のAppCensusによれば、システムログ読み取りのパーミッションを得たプリインストールアプリは数多くあるようだ。

RPIは公開されるデータなので一見問題なさそうだが、MACアドレスと組み合わせて大量のデータを照合すればユーザー同士の相関図を作ることができる。また、RPIは10～20分ごとに更新されるものの、陽性者が保健当局に秘密鍵「Temporary Exposure Key (TEK)」を提供し、診断鍵として公開された場合、その陽性者に複数のRPIを結び付けることも可能になる。さらに、ユーザーに接触の有無を通知する際、そのデータもシステムログに記録されるとのこと。そのため、個人を特定可能なデータをログに記録しない、というAndroidのベストプラクティスをGoogle自身が守っていないとAppCensusは批判する。

AppCensusは今回の調査を米国土安全保障省(DHS)科学技術局(S&T)から受注して実施しており、この問題を2月に報奨金プログラムを通じてGoogleへ報告したという。しかし、Googleは報告を却下し、自らバグ報告後の修正期限として推奨する60日以上経過しても修正する様子がなかったため、倫理面について議論した末に開示を決めたとのこと。一方、Googleは報告を受けて数週間前に修正をロールアウトし、今後数日中に完了する見込みだとThe Markupに伝えたとのことだ。

すべて読む | ITセクション | Google | セキュリティ | 医療 | デベロッパー | Android | プライバシ |

関連ストーリー：
GMS非対応のHuawei製スマホにCOCOAは対応するべきか？ 2021年04月28日
厚労省がCOCOA不具合の調査結果を公表、認識不足や業者任せと指摘 2021年04月19日
英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 2021年04月13日
厚労省、接触通知アプリCOCOAの業務体制を見直した結果、委託先を1社増加へ 2021年04月08日
接触追跡アプリCOCOA、APIへの対応がバージョン1に留まる。運用委託先は新年度から変更へ 2021年03月18日
COCOAのAndroid版に接触通知が送られない不具合。4か月間気がつかず 2021年02月04日
Google、診断鍵のダウンロードに問題が発生したCOVID-19接触通知システムを修正 2021年01月16日