Au cours du week-end, Google et l’État du Massachusetts ont réussi à faire applications de suivi COVID effrayantes encore plus effrayant en les installant automatiquement sur les téléphones Android des gens. De nombreux rapports sur Reddit, Nouvelles des pirates informatiques, et les critiques intégrées à l’application affirment que « MassNotify », l’application de suivi COVID du Massachusetts, installée silencieusement sur leur appareil Android sans le consentement de l’utilisateur.

Google a fait la déclaration suivante à 9to5Google, et l’entreprise ne nie pas avoir installé une application en silence.

Nous avons travaillé avec le Massachusetts Department of Public Health pour permettre aux utilisateurs d’activer le système de notifications d’exposition directement à partir des paramètres de leur téléphone Android. Cette fonctionnalité est intégrée aux paramètres de l’appareil et est automatiquement distribuée par le Google Play Store, de sorte que les utilisateurs n’ont pas à télécharger une application distincte. Les notifications d’exposition COVID-19 ne sont activées que si un utilisateur les active de manière proactive. Les utilisateurs décident d’activer cette fonctionnalité et de partager des informations via le système pour aider à avertir les autres d’une éventuelle exposition.

La déclaration de Google n’aborde pas vraiment le problème de l’installation automatique d’une application sans demander. Les « fonctionnalités » des applications de suivi de l’exposition au COVID sont intégrées aux services Google Play en tant qu’API que les applications gouvernementales peuvent utiliser pour leurs initiatives de suivi et peuvent être « automatiquement distribuées par le Google Play Store ».

Ce n’est toujours pas l’application « MassNotify », cependant. Comme toutes les autres applications COVID étatiques et nationales, MassNotify fournit aux utilisateurs une interface pour signaler l’exposition au COVID et afficher les statistiques de santé de leur population locale. Si tous ces utilisateurs acceptaient accidentellement le suivi COVID et oubliaient, nous nous attendrions à ce qu’une déclaration de Google refuse catégoriquement le déploiement automatique d’une application. Cependant, la déclaration de Google ne nie pas l’installation silencieuse et indique simplement que le suivi COVID n’est pas activé à moins que les utilisateurs ne l’activent.

Les applications de suivi COVID étaient la réponse de Big Tech à la pandémie, avec Google et Apple tous deux construisent une plate-forme de recherche de contacts dans leurs systèmes d’exploitation mobiles. L’idée est que si vous vous inscrivez, le Bluetooth de votre téléphone peut rechercher d’autres appareils activés et conserver une liste des personnes avec lesquelles vous avez été en contact. Si l’une de ces personnes reçoit COVID et en informe l’application, le système de suivi alertera toutes les personnes qu’elle a enregistrées récemment, leur faisant savoir qu’elles pourraient avoir été exposées. Plutôt que d’exécuter eux-mêmes un système de suivi mondial, Google et Apple ont uniquement créé une API système et des modèles d’applications à utiliser par les organisations gouvernementales de santé. Aux États-Unis, cela signifie que chaque État doit créer une application COVID.

Le déploiement de l’application par Google et le Massachusetts semble certainement bâclé. Il existe deux versions de l’application « MassNotify » sur le Play Store. Une version ne semble pas avoir été installé silencieusement, n’a que plus de 1 000 installations et affiche une note de 4,1 étoiles (sur 5). UNE deuxième version-étiqueté « v3 » dans le nom du package – a été critiqué avec des critiques négatives (1,1 étoiles au moment de la publication) avec des utilisateurs alléguant qu’il a été automatiquement installé sur les appareils ; certains utilisateurs se sont même demandé si l’application était un logiciel malveillant. Les deux applications sont répertoriées sous le compte de développeur « MA Department of Public Health », qui n’existe pas ? Le lien pour le développeur juste des 404, ce qui n’inspire vraiment pas confiance dans la légitimité de l’application.

Deux applications prêtent à confusion

Mise à jour 16h20 HAE : Un peu plus sur les deux applications. Grâce à Abner Li de 9to5Google pour avoir souligné que les captures d’écran du Play Store sont erronées et que la version auto-installée de MassNotify n’a pas réellement d’icône d’application ou d’interface utilisateur de statistiques de santé publique. Il ne vit que dans Paramètres -> Google -> Notifications d’exposition COVID-19, où vous pouvez activer le suivi et signaler que vous avez COVID. (Comment une personne normale trouvera-t-elle cela s’il est enterré dans les paramètres du système ?) Cela signifie que la déclaration de Google a un peu plus de sens maintenant lorsqu’elle parle de « fonctionnalité intégrée dans les paramètres » et si vous définissez une « application distincte » comme « une chose qui a une icône d’application. »

Sans icône d’application, le moyen le plus simple de voir si MassNotify s’est installé automatiquement sur votre appareil est de cliquer dessus Lien Play Store et voyez si le bouton d’installation est au passé (« Installé » contre « Installer »). Sans icône d’application, la version auto-installée de MassNotify n’apparaîtra que dans les paramètres du système d’informations de l’application, et même dans ce cas, si vous souhaitez la désinstaller, elle ne s’appelle pas « MassNotify ». Au lieu de cela, il est vaguement appelé « Département de santé du Massachusetts ».

La version de MassNotify qui n’est pas installée automatiquement est une application COVID complète, avec une interface utilisateur de statistiques et une icône d’application. Cela augmente certainement la probabilité qu’une personne atteinte de COVID puisse réellement trouver l’application et signaler qu’elle a COVID. Le seul problème est que le Massachusetts ne pas vraiment de lien à cette version sur son site Internet.

Google a-t-il déployé cela sur tous les appareils du Massachusetts ?

L’histoire originale reprend : Le Massachusetts a mis une éternité à lancer son application COVID, avec le lancement de MassNotify uniquement La semaine dernière, des mois derrière d’autres États et à un moment où la plupart des personnes responsables sont vaccinées. Malgré cela, incroyablement, l’application MassNotify « v3 » compte plus d’un million d’installations ! Le Play Store n’affiche que les numéros d’installation par niveaux, de sorte que l’étiquette « 1 000 000+ » sur MassNotify signifie « Plus de 1 million et moins de 5 millions », qui est le niveau suivant. Le Massachusetts ne compte que 6,8 millions d’habitants. La base d’installation de smartphones aux États-Unis mettrait Android à environ 50 pourcent des utilisateurs. La pénétration des smartphones est pas à 100 pour cent de la population. Si vous avez automatiquement installé MassNotify sur tous les appareils Android du Massachusetts, vous n’atteindrez pas cinq millions d’appareils, de sorte que l’étiquette « 1 000 000+ » est pratiquement la limite. L’ont-ils déployé sur tous les appareils du Massachusetts ?

Avec des vaccins COVID facilement disponibles et des mandats de masque dans l’État levage le mois dernier, il est difficile d’imaginer que les habitants du Massachusetts étaient si enthousiastes à propos de la nouvelle application de suivi COVID que toutes ces personnes ont volontairement installé l’application. MassNotify est désormais l’application de suivi COVID la plus populaire sur le Play Store. Les applications COVID pour Californie et New York, qui ont tous deux au moins six mois d’avance sur MassNotify, n’ont que 500 000+ installations chacun.

Si vous vous demandez « Google peut-il vraiment installer des applications sur un appareil Android sans intervention de l’utilisateur ? » la réponse est « Peuvent-ils jamais! » Les installations push sont en fait le seul moyen pour Google Play d’installer des applications. Lorsque vous ouvrez le Play Store et appuyez sur le bouton d’installation, vous demandez en fait à Google de vous pousser l’installation d’une application sur Messagerie Cloud Firebase. Les utilisateurs peuvent réellement voir cela en action eux-mêmes en installant à distance une application à partir du site Web Google Play sur un ordinateur de bureau. Personne n’a besoin d’être devant votre téléphone Android pour accorder des privilèges administratifs à quoi que ce soit – l’application s’installe simplement parce que Google a un Ligne d’accès 24h/24 et 7j/7 à votre appareil. La partie vraiment « amusante » est que Google peut également ONUinstaller des applications à partir de votre téléphone sans interaction, permettant à l’entreprise de Nuke à distance les logiciels malveillants si jamais les choses tournent mal.

L’année dernière, lorsque toute cette idée d’application de suivi COVID a été lancée, un sondage a révélé que la moitié des américains ne faites pas confiance à ces applications de suivi COVID pour leur confidentialité. Des décisions comme celle-ci n’aident pas.