Android系統(tǒng)漏洞將COVID-19聯(lián)系人追蹤記錄暴露

　　隱私分析公司AppCensus周二披露，谷歌和蘋果的COVID-19暴露通知應(yīng)用程序的Android版本有一個隱私缺陷，讓其他預(yù)裝應(yīng)用程序有可能看到敏感數(shù)據(jù)，包括某人是否曾與COVID-19檢測呈陽性的人接觸過。谷歌接到消息后回應(yīng)稱正在準(zhǔn)備對該漏洞的修復(fù)。

　　這個漏洞違背了谷歌首席執(zhí)行官桑達爾-皮查伊、蘋果首席執(zhí)行官蒂姆·庫克和許多公共衛(wèi)生官員的多次承諾，即暴露通知程序收集的數(shù)據(jù)不能在個人設(shè)備之外共享。

　　據(jù)The Markup報道，AppCensus在2月份首次向谷歌報告了這個漏洞，但該公司未能解決這個問題。AppCensus的聯(lián)合創(chuàng)始人兼取證負責(zé)人Joel Reardon告訴The Markup，修復(fù)這個問題就像刪除幾行非必要的代碼一樣簡單。"Reardon說："明明有很簡單的修復(fù)方法，我很驚訝他們沒有這么做。"

　　谷歌發(fā)言人JoséCasta eda在給The Markup的一份電子郵件聲明中說："我們被告知一個問題，即藍牙標(biāo)識符暫時可以被特定的系統(tǒng)級應(yīng)用程序用于調(diào)試目的，我們立即開始推出一個解決方案來解決這個問題。"

　　曝光通知系統(tǒng)的工作原理是在用戶的手機和其他激活了該系統(tǒng)的手機之間ping出匿名的藍牙信號。然后，如果有人使用該應(yīng)用程序?qū)OVID-19檢測呈陽性，他們可以與衛(wèi)生部門合作，向任何有相應(yīng)信號記錄在手機內(nèi)存中的手機發(fā)送警報。

　　在Android手機上，追蹤數(shù)據(jù)被記錄在特權(quán)系統(tǒng)內(nèi)存中，手機上運行的大多數(shù)軟件都無法訪問。但是，制造商預(yù)裝的應(yīng)用程序有特殊的系統(tǒng)權(quán)限，可以讓它們訪問這些日志，從而使敏感的聯(lián)系人追蹤數(shù)據(jù)處于危險之中。但是，目前沒有跡象表明任何應(yīng)用程序?qū)嶋H收集了這些數(shù)據(jù)。

　　預(yù)裝的應(yīng)用程序以前曾利用過它們的特殊權(quán)限，有調(diào)查顯示，它們有時會收集地理位置信息和手機聯(lián)系人等數(shù)據(jù)，但該分析報告沒有發(fā)現(xiàn)iPhone上的曝光通知系統(tǒng)有任何類似的問題。

　　AppCensus的首席技術(shù)官Serge Egelman在Twitter上發(fā)表的一份聲明中說，這個問題是一個實施上的問題，而不是曝光通知框架所固有的bug，但它不應(yīng)該削弱對公共衛(wèi)生技術(shù)的信任。我們希望帶來的教訓(xùn)是，正確處理隱私問題真的很難，系統(tǒng)中的漏洞總是會被發(fā)現(xiàn)，但共同努力補救這些問題符合所有人的利益。"