Android 手机一直在系统日志中跟踪联系人跟踪应用程序的数据,一些第三方应用程序可以轻松访问这些数据。据安全研究人员称,Android 设备中的数百个第三方应用程序可以访问由基于谷歌和苹果 API 构建的联系人跟踪应用程序记录的敏感数据。
AppCensus 是一家总部位于的初创公司,专门分析 Android 应用程序的隐私实践, 今年早些时候获得了国土安全部近 20 万美元的资助,用于测试和验证联系人追踪应用程序的可靠性。
该公司的研究人员发现,Android 手机使用 Google 和 Apple 的暴露通知系统 (ENS) 记录来自应用程序的数据,在设备的系统日志中记录了关键的联系人跟踪信息——用于调试目的,通常是应用程序接收用户信息的地方分析和崩溃报告。
并非所有应用程序都可以读取系统日志;但在 Android 中,谷歌允许一些硬件制造商、网络运营商和商业合作伙伴预装“特权”应用程序。部分特权是访问系统日志。
以小米红米 Note 9 为例,允许 54 个应用读取系统日志,而三星 Galaxy A11 中有 89 个应用。“由于谷歌的实施,他们现在正在接收用户的医疗和其他敏感信息,” AppCensus 联合创始人兼取证负责人 Joel Reardon 在一篇博客文章中说。
谷歌和苹果去年联合发布了 ENS,以协助世界各地的卫生 构建与隐私要求兼容的联系人追踪应用程序 ,据两家公司称,这是 Android 和 iOS 生态系统的基础。
Apple 和 Google 开发的 API 使政府能够创建依赖蓝牙信号的分散式联系人追踪应用程序。
装有该应用程序的设备会发出周期性变化的匿名标识符,称为滚动邻近标识符 (RPI),它通过蓝牙进行广播,以便周围也在使用该应用程序的手机可以“听到”这些标识符。因此,除了广播 RPI 外,手机还会记录它们听到的所有 RPI。
如果用户后来检测出 呈阳性,卫生会发布一份包含该用户手机上所有 RPI 的列表。在每台设备上,都会对传染性 RPI 列表与应用程序记录的 RPI 列表进行比较,如果检测到有风险的接触,则会向用户发出通知。
所有配对都是在手机本地进行的,原则上,除非用户决定与卫生服务机构分享他们对 检测呈阳性的数据,否则任何数据都不应离开设备。这就是为什么谷歌和苹果称他们的系统去中心化,并将 ENS 定位为通过设计保护隐私。
大量用户现在已经下载了由 Apple 和 Google 的 ENS 创建的联系人追踪应用程序。例如,在英国,NHS 应用程序的下载量超过 2100 万次,而德国的 CoronaWarn 应用程序被超过 2500 万居民使用。
AppCensus 的调查结果表明,这两家科技巨头的隐私承诺存在一些缺陷。Reardon 和他的团队发现,Android 手机的系统日志中可以找到广播和收听的 RPI——对于收听的 RPI,设备还会记录发送设备的当前蓝牙 MAC 地址。
法国国家数字科学与技术研究所 (INRIA) 的研究员 Gaetan Leurent “当然,必须将信息记录在某个地方才能进行接触者追踪,但这应该在 ENS 内部。”谁没有参与研究,告诉 ZDNet。“令人不安的是,这些信息存储在系统日志中。没有充分的理由把它放在那里。”
尽管 RPI 和蓝牙 MAC 地址是随机且匿名的,但 AppCensus 确定了几种可以使用和计算数据来执行隐私攻击的方法。
结合不同的数据集,RPI 可用于确定用户是否已检测出 呈阳性,他们是否与感染者接触过,甚至——访问多个用户的系统日志——是否是两个人遇到了对方。
“整个接触者追踪系统应该是保护隐私的,它应该完全避免这种信息泄露,”Leurent 说。“因此,它确实破坏了本应作为该协议基础的整个保护措施。”
在这种情况下,修复很简单:Google 只需阻止 ENS 在设备的系统日志中记录数据即可。Reardon 强调,该问题不是接触者追踪的固有缺陷,而是系统中的实施错误。
然而 AppCensus 报告说,当研究人员向谷歌披露这个问题时,搜索巨头未能承认或解决这个问题。60 天后,分析师决定遵循谷歌自己关于漏洞赏金的建议,并将他们的发现公之于众。
谷歌发言人告诉 ZDNet:“我们被告知一个问题,即某些预安装的应用程序可以临时访问蓝牙标识符以进行调试。在得知这项研究后,我们立即开始了必要的过程来审查这个问题,考虑缓解措施并最终更新代码。”
“这些蓝牙标识符不会泄露用户的位置或提供任何其他识别信息,我们没有迹象表明它们被以任何方式使用——也没有任何应用程序甚至意识到这一点。”
据谷歌称,Android 设备更新的推出已于几周前开始,并将在未来几天内完成。
对于 Leurent 来说,他 对 联系人追踪应用程序带来的隐私问题进行了广泛的研究,这只会与需要就该技术的好处和风险进行的更广泛的辩论有关。
研究人员之前的出版物表明,无论实施如何,在使用数字技术进行联系人追踪时都不可避免地存在隐私风险。“现在,这是否是一件大事是需要讨论的事情,”他说,“但我认为我们真的需要讨论评估这些风险和好处。对于联系人追踪应用程序,我们从未真正进行过这些讨论.
“这些应用程序已经使用了一年,但我们对它们的工作情况仍然知之甚少。我的直觉是收益不是很高。”
艾伦图灵研究所和英国牛津大学的科学家最近发表的 研究表明,NHS 应用程序的初步结果令人鼓舞,实验计算得出的结论是,该技术可能在全国范围内预防了多达 600,000 例阳性病例。
然而,研究人员自己承认,由于可能影响结果的因素很多,因此在科学上很难全面了解应用程序的效率。
另一方面,批评者一再提出,除非被 绝大多数人采用,否则接触者追踪应用程序缺乏准确性并且 无法显示相关好处。