安全 谷歌承诺其新冠联系人追踪应用程序是完全保密的 但事实并非如此
当谷歌和苹果在2020年4月推出他们的COVID-19联系人追踪框架时 , 这两家公司让那些担心与大公司分享私人健康信息的人放心 。
谷歌和苹果公司保证 , 通过应用程序产生的数据 , 包括人们的行动 , 他们可能接触过的人 , 以及他们是否报告COVID-19检测呈阳性将是匿名的 , 并且永远不会与公共卫生机构以外的任何人分享 。
谷歌首席执行官桑达尔-皮查伊(Sundar Pichai)在去年5月该框架公开发布时表示 , 我们的目标是为公共卫生机构提供另一种工具 , 帮助打击病毒 , 同时保护用户隐私 。苹果公司首席执行官蒂姆-库克也作出了类似的保证 。
从那时起 , 数以百万计的人下载了通过苹果和谷歌框架开发的联系人追踪应用程序 。英国国家卫生服务机构的应用程序至少有1600万用户 , 而加拿大数字服务机构的COVID警报应用程序在1月份拥有超过600万的下载量 , 弗吉尼亚州卫生部指出有超过200万居民正在使用其COVIDWISE应用程序 。
加利福尼亚州州长加文-纽森(Gavin Newsom)在去年12月的一条推特上认可了该州的应用程序版本 , 称其为 "100%的隐私和安全" 。但The Markup了解到 , 不仅安卓版的联系人追踪工具包含一个隐私缺陷 , 而且当隐私分析公司AppCensus的研究人员在今年2月提醒谷歌注意这个问题时 , 谷歌却没有进行修补 。AppCensus正在测试该系统 , 作为与美国国土安全部签订的合同的一部分 。该公司在iPhone版本的框架中没有发现类似问题 。
AppCensus安全研究人员表示 , 这个修复是一个单行的东西 , 你删除了一个将敏感信息记录到系统日志中的行 。它不影响程序 , 不改变它的工作方式 , 这是一个如此简单的修复 , 而我感到惊讶的是 , 谷歌居然没有进行修复 。
谷歌发言人José Casta?eda在给The Markup的一份电子邮件声明中说:"我们被告知一个问题 , 即蓝牙标识符被特定的系统级应用程序暂时访问 。我们立即开始推出一个修复方案来解决这个问题 。“ 然而 , AppCensus的联合创始人兼首席技术官Serge Egelman说 , 谷歌曾多次驳回该公司对该漏洞的担忧 , 直到The Markup在上周末联系谷歌对该问题进行评论 。
【安全|谷歌承诺其新冠联系人追踪应用程序是完全保密的 但事实并非如此】当被问及该漏洞是否已被消除时 , 谷歌几周前开始向安卓设备推出这一更新 , 并将在未来几天内完成 。安全人员表示 , 安卓设备上的数百个预装应用程序 , 如三星浏览器和摩托罗拉的MotoCare , 可以访问联系人追踪应用程序存储在系统日志中的潜在敏感信息 , 这是预装应用程序如何接收用户分析和崩溃报告信息的副产品 。
联系人追踪工具通过与其他拥有联系人追踪应用程序的手机交换匿名的蓝牙信号来工作 。这些信号每15分钟改变一次 , 以增加识别某人的难度 , 并且是由一个每24小时改变一次的密钥创建的 。手机的联系人追踪数据产生和接收的信号被保存到安卓设备的系统日志中 。研究发现 , 三星、摩托罗拉、华为和其他公司制造的手机上有超过400个预装的应用程序有权限读取系统日志 , 用于崩溃报告和分析目的 。
在接触追踪应用程序的情况下 , 研究人员发现系统日志包括一个人是否与COVID-19检测呈阳性的人接触的数据 , 并可能包含识别信息 , 如设备的名称、MAC地址和其他应用程序的广告ID 。从理论上讲 , 这些信息可能被预装的应用程序捕获 , 并被送回他们公司的服务器 。他还没有发现任何应用程序实际收集了这些数据 , 但没有任何东西可以阻止它们这样做 。
文章图片 
文章图片
推荐阅读
- 金星 谷歌与哈佛发布首个大规模人脑“地图”,包含1.3亿个突触
- Huawei 华为正式发布HarmonyOS操作系统 央视:打破了苹果、谷歌的垄断
- Tesla 碰撞时存在安全隐患 特斯拉召回734辆进口Model 3
- 安全 FBI认定对JBS发起勒索软件攻击的幕后黑手是REvil
- Google 前SiriusXM首席产品与技术官将带领谷歌地理产品团队
- 安全 诺顿宣布内置于防病毒软件中的安全型以太坊挖矿功能
- Apple 苹果上线Apple Wallet/Apple Pay新页面 突显安全和便利
- 安全 微软收购ReFirm实验室以提高其固件分析和安全能力
- 可咖杯安全么
- Microsoft 推动安全浏览:微软为Edge浏览器引入自动HTTPS切换功能