科技巨头落地地点和科米德州的泄漏问题

隐私问题提出了关于Google的实施隐私保留联系跟踪

安全研究人员已经陷入困扰隐私谷歌对联系跟踪应用程序的问题,他们声称可以公开用户信息。

隐私分析公司AppCensus发现,作为美国国土安全部资助项目的一部分,谷歌-苹果曝光通知(GAEN)框架在Android平台上的实施存在缺陷。

该团队于2月中旬向谷歌披露了这些问题。谷歌但是,拒绝了漏洞报告,提示Appcensus决定以其担忧在一起博客星期二(4月27日)。

亏损和保险服

Appcensus是在强调Covid-19联系跟踪的问题的强调应用本身;相反,它是谷歌实施所谓的隐私保留技术,它涉及对此。

GaEN为基于蓝牙的联系方式移动应用程序提供了分散的系统。

该框架旨在帮助公众卫生当局管理Covid-19的传播,拯救生命。

通过曝光通知系统,谷歌,Apple和其他用户都不能看到用户的身份,因为所有记录都会在用户的设备上发生。


阅读更多2019冠状病毒病大流行:漏洞奖励计划如何帮助确保一些世界领先的追踪和追踪应用的安全


该理论是基于谷歌和苹果公司共同开发的分散的盖恩方法的应用应该更加隐私。

然而,根据Appcensus,谷歌的实现是记录关键信息。

虽然此数据可能会被数百个第三方应用程序读取,但从Google Play Store下载的应用程序自2012年以来已被阻止访问系统日志。

但是,谷歌允许手机硬件制造商,网络根据AppCensus,运营商及其商业伙伴(例如,广告库)以预先安装“特权”应用程序。

接近警报

这是一个特定的问题,因为日志包含来自运行在用户设备范围内的联系跟踪应用程序的其他手机以及相应的蓝牙MAC地址的其他电话中广播的滚动邻近标识符(RPI)。日志还包含RPI的详细信息,每15分钟左右更改,用户设备广播每15分钟左右。

最终结果是,由设备制造商开发的应用程序,包括三星和小MIA,具有读取系统日志的能力,还可以从运行基于蓝牙的联系方式应用程序的设备访问敏感数据。

AppCensus并没有因为这个问题而指责设备制造商,而是指责谷歌“有缺陷”的GAEN实现导致的“敏感数据首先被记录到系统日志中”。

根据AppCensus,日志中包含的数据包含在公共卫生权限发布的正临时曝光键(TEKS),以潜在地推断用户的Covid状态。

更糟糕的是,收集日志的实体还可以将其与用户的身份关联起来。

'没有迹象

以回应来自每日SWbeplay2018官网IG.,Google提供了一份声明承认其实施中缺乏的缺点,该缺点是暴露的蓝牙标识符,但认为此数据未能公开用户的位置或识别信息,与AppCensus的报告相反。

我们收到了一个问题,其中蓝牙标识符暂时可以对某些预先安装的应用程序暂时访问以进行调试目的。立即在意识到这项研究后,我们开始审查问题的必要过程,考虑缓解,并最终更新代码。

这些蓝牙标识符不会显示用户的位置或提供任何其他识别信息,并且我们没有指示它们以任何方式使用 - 任何应用程序均匀地意识到这一点。

虽然谷歌的陈述意味着由于Appcensus的调查结果而言,我们从未有过大的隐私风险每日SWbeplay2018官网IG.了解解决问题的滚动,解决问题已经开始。


你也许也喜欢欧洲隐私监管机构规定了Covid Stuide Passport的规则