Android系統漏洞將COVID-19聯(lián)系人追蹤記錄暴露

　　隱私分析公司AppCensus周二披露，谷歌和蘋(píng)果的COVID-19暴露通知應用程序的Android版本有一個(gè)隱私缺陷，讓其他預裝應用程序有可能看到敏感數據，包括某人是否曾與COVID-19檢測呈陽(yáng)性的人接觸過(guò)。谷歌接到消息后回應稱(chēng)正在準備對該漏洞的修復。

　　這個(gè)漏洞違背了谷歌首席執行官桑達爾-皮查伊、蘋(píng)果首席執行官蒂姆·庫克和許多公共衛生官員的多次承諾，即暴露通知程序收集的數據不能在個(gè)人設備之外共享。

　　據The Markup報道，AppCensus在2月份首次向谷歌報告了這個(gè)漏洞，但該公司未能解決這個(gè)問(wèn)題。AppCensus的聯(lián)合創(chuàng )始人兼取證負責人Joel Reardon告訴The Markup，修復這個(gè)問(wèn)題就像刪除幾行非必要的代碼一樣簡(jiǎn)單。"Reardon說(shuō)："明明有很簡(jiǎn)單的修復方法，我很驚訝他們沒(méi)有這么做。"

　　谷歌發(fā)言人JoséCasta eda在給The Markup的一份電子郵件聲明中說(shuō)："我們被告知一個(gè)問(wèn)題，即藍牙標識符暫時(shí)可以被特定的系統級應用程序用于調試目的，我們立即開(kāi)始推出一個(gè)解決方案來(lái)解決這個(gè)問(wèn)題。"

　　曝光通知系統的工作原理是在用戶(hù)的手機和其他激活了該系統的手機之間ping出匿名的藍牙信號。然后，如果有人使用該應用程序對COVID-19檢測呈陽(yáng)性，他們可以與衛生部門(mén)合作，向任何有相應信號記錄在手機內存中的手機發(fā)送警報。

　　在A(yíng)ndroid手機上，追蹤數據被記錄在特權系統內存中，手機上運行的大多數軟件都無(wú)法訪(fǎng)問(wèn)。但是，制造商預裝的應用程序有特殊的系統權限，可以讓它們訪(fǎng)問(wèn)這些日志，從而使敏感的聯(lián)系人追蹤數據處于危險之中。但是，目前沒(méi)有跡象表明任何應用程序實(shí)際收集了這些數據。

　　預裝的應用程序以前曾利用過(guò)它們的特殊權限，有調查顯示，它們有時(shí)會(huì )收集地理位置信息和手機聯(lián)系人等數據，但該分析報告沒(méi)有發(fā)現iPhone上的曝光通知系統有任何類(lèi)似的問(wèn)題。

　　AppCensus的首席技術(shù)官Serge Egelman在Twitter上發(fā)表的一份聲明中說(shuō)，這個(gè)問(wèn)題是一個(gè)實(shí)施上的問(wèn)題，而不是曝光通知框架所固有的bug，但它不應該削弱對公共衛生技術(shù)的信任。我們希望帶來(lái)的教訓是，正確處理隱私問(wèn)題真的很難，系統中的漏洞總是會(huì )被發(fā)現，但共同努力補救這些問(wèn)題符合所有人的利益。"