Android系統(tǒng)漏洞將COVID-19聯(lián)系人追蹤記錄暴露
隱私分析公司AppCensus周二披露,谷歌和蘋果的COVID-19暴露通知應(yīng)用程序的Android版本有一個(gè)隱私缺陷,讓其他預(yù)裝應(yīng)用程序有可能看到敏感數(shù)據(jù),包括某人是否曾與COVID-19檢測呈陽性的人接觸過。谷歌接到消息后回應(yīng)稱正在準(zhǔn)備對該漏洞的修復(fù)。
本文引用地址:http://www.ex-cimer.com/article/202104/425005.htm這個(gè)漏洞違背了谷歌首席執(zhí)行官桑達(dá)爾-皮查伊、蘋果首席執(zhí)行官蒂姆·庫克和許多公共衛(wèi)生官員的多次承諾,即暴露通知程序收集的數(shù)據(jù)不能在個(gè)人設(shè)備之外共享。
據(jù)The Markup報(bào)道,AppCensus在2月份首次向谷歌報(bào)告了這個(gè)漏洞,但該公司未能解決這個(gè)問題。AppCensus的聯(lián)合創(chuàng)始人兼取證負(fù)責(zé)人Joel Reardon告訴The Markup,修復(fù)這個(gè)問題就像刪除幾行非必要的代碼一樣簡單。"Reardon說:"明明有很簡單的修復(fù)方法,我很驚訝他們沒有這么做。"
谷歌發(fā)言人JoséCasta eda在給The Markup的一份電子郵件聲明中說:"我們被告知一個(gè)問題,即藍(lán)牙標(biāo)識符暫時(shí)可以被特定的系統(tǒng)級應(yīng)用程序用于調(diào)試目的,我們立即開始推出一個(gè)解決方案來解決這個(gè)問題。"
曝光通知系統(tǒng)的工作原理是在用戶的手機(jī)和其他激活了該系統(tǒng)的手機(jī)之間ping出匿名的藍(lán)牙信號。然后,如果有人使用該應(yīng)用程序?qū)OVID-19檢測呈陽性,他們可以與衛(wèi)生部門合作,向任何有相應(yīng)信號記錄在手機(jī)內(nèi)存中的手機(jī)發(fā)送警報(bào)。
在Android手機(jī)上,追蹤數(shù)據(jù)被記錄在特權(quán)系統(tǒng)內(nèi)存中,手機(jī)上運(yùn)行的大多數(shù)軟件都無法訪問。但是,制造商預(yù)裝的應(yīng)用程序有特殊的系統(tǒng)權(quán)限,可以讓它們訪問這些日志,從而使敏感的聯(lián)系人追蹤數(shù)據(jù)處于危險(xiǎn)之中。但是,目前沒有跡象表明任何應(yīng)用程序?qū)嶋H收集了這些數(shù)據(jù)。
預(yù)裝的應(yīng)用程序以前曾利用過它們的特殊權(quán)限,有調(diào)查顯示,它們有時(shí)會收集地理位置信息和手機(jī)聯(lián)系人等數(shù)據(jù),但該分析報(bào)告沒有發(fā)現(xiàn)iPhone上的曝光通知系統(tǒng)有任何類似的問題。
AppCensus的首席技術(shù)官Serge Egelman在Twitter上發(fā)表的一份聲明中說,這個(gè)問題是一個(gè)實(shí)施上的問題,而不是曝光通知框架所固有的bug,但它不應(yīng)該削弱對公共衛(wèi)生技術(shù)的信任。我們希望帶來的教訓(xùn)是,正確處理隱私問題真的很難,系統(tǒng)中的漏洞總是會被發(fā)現(xiàn),但共同努力補(bǔ)救這些問題符合所有人的利益。"
評論