Information disclosure about the user behaviour
The following bug report has been received through the YesWeHack private bugbounty phase. Privacy issues were out of the scope and the StopCovid team recommended to open a ticket here.
En répétant à des moments précis et de manière répété certaines requêtes, l’application trahie le comportement de l’utilisateur et ainsi vient poser un problème de privacy en ajoutant un tracking indirecte
Les 3 requêtes ci dessous sont utilisés a plusieurs reprises par StopCovid:
- Lors de la 1er ouverture de l’app
- Lorsque l’utilisateur accepte la permission de localisation
- Lorsqu’il accepte le battery usage
- Lorsqu’il remet l’app en background
GET /json/version-21/strings-en.json HTTP/1.1 Accept: application/json Content-Type: application/json Host: app.stopcovid.gouv.fr Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/4.7.2
GET /json/version-21/privacy-en.json HTTP/1.1 Accept: application/json Content-Type: application/json Host: app.stopcovid.gouv.fr Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/4.7.2
GET /maintenance/info-maintenance-v2.json HTTP/1.1 Accept: application/json Content-Type: application/json Host: app.stopcovid.gouv.fr Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/4.7.2
Côté serveur, il est tout à fait possible de tracker le comportement de l’utilisateur par ce biais indirect afin de savoir si il ouvre l’app, si il accepte les permissions, etc ce qui est contraire à la philosophie de l’application.