科技巨头淡化位置和共同国家的泄漏问题
安全研究人员在令人不安的隐私Google支持接触追踪应用程序的问题中,他们声称可以揭示用户的信息。
隐私分析公司AppCensus发现了Android实施Google Apple曝光通知(GAEN)框架的缺点,这是美国国土安全部资助计划的一部分。
该团队在2月中旬向Google透露了这些问题。谷歌但是,,拒绝了漏洞报告,促使Appcensus决定公开其关注博客文章在星期二(4月27日)。
损失和盖斯
AppCensus痛苦地强调,COVID-19接触跟踪没有问题应用本身;相反,这是Google实施它所关注的一项隐私技术。
Gaen为基于蓝牙的接触跟踪移动应用程序提供了分散的系统。
该框架旨在帮助公众卫生当局管理Covid-19的传播并挽救生命。
借助曝光通知系统,Google,Apple和其他用户都无法看到用户的身份,因为所有记录都发生在用户的设备上。
阅读更多COVID-19大流行:Bug Bounty计划如何帮助确保世界上一些领先的轨道和跟踪应用程序
该理论是,基于Google和Apple共同开发的分散的Gaen方法的应用程序应该更加隐私。
但是,根据AppCensus的说法,Google实施Gaen会记录重要的信息。
尽管该数据可能会通过数百个第三方应用程序读取,但自2012年以来,从Google Play商店下载的应用程序已被访问系统日志。
但是,Google允许电话硬件制造商,网络根据AppCensus的说法,运营商及其商业合作伙伴(例如,广告库)预先安装“特权”应用程序。
接近警报
这是一个特殊的问题,因为日志包含滚动接近标识符(RPI),该日志是根据运行接触式跟踪应用程序的其他手机播放的,该应用程序包含在用户设备的范围内,以及相应的蓝牙MAC地址。该日志还包含RPI的详细信息,该详细信息每15分钟左右更改一次,由用户的设备广播。
最终结果是,包括三星和小米在内的设备制造商开发的应用程序能够读取系统日志的能力,还可以从运行基于蓝牙的接触式跟踪应用程序的设备访问敏感数据。
AppCensus不会为该问题的设备制造商提供错误的错误,而是“将敏感数据的日志[Ging Ging Ging to System Log to The Perage to Ploce of The Ploce of The Mogal of System lot of The Magins of System lotaged to Gaen的“有缺陷”实现。
根据AppCensus的说法,日志中包含的数据可以与公共卫生部门发布的积极临时曝光密钥(TEKS)结合使用,以推断用户的共同状态。
更糟糕的是,收集日志的实体也可以将其与用户的身份相关联。
“没有迹象”
响应查询每日swbeplay2018官网ig,Google提供了一份声明,确认其实施中的缺点,该声明暴露了蓝牙标识符,但认为该数据未能公开用户的位置或识别信息,这与AppCensus的报告相反。
我们收到了一个问题,该问题是在某些预安装的应用程序中暂时访问蓝牙标识符以进行调试。立即意识到这项研究后,我们开始了必要的过程,以审查该问题,考虑缓解并最终更新代码。
这些蓝牙标识符不会揭示用户的位置或提供任何其他识别信息,我们没有迹象表明它们以任何方式使用 - 甚至任何应用程序甚至都不知道。
尽管Google的声明意味着由于Appcensus的发现,从来没有太多的隐私风险,但每日swbeplay2018官网ig了解解决该问题的Android更新已在进行中。
你可能也会喜欢欧洲隐私监管机构制定了Covid STATUS护照的规则
