第三方软件可读取资料?专家:Apple与Google共同开发抗疫功能有隐私风险!

Published by
TTN 谈谈网

Apple和Google共同开发的手机抗疫功能,竟然会导致用户隐私有泄漏风险?

(图片来源:bankinfosecurity)

有泄漏资料风险?

Apple和Google合作推出了“蓝牙追踪传播工具Exposure Notification系统“(Google/Apple Exposure Notification,简称GAEN),用意是让用户得知身边是否有人已经确诊,并且提出警告,但据说却会导致用户隐私受泄漏风险?

(图片来源:techcrunch)

预装APP权限过大

根据专门分析行动APP的AppCensus共同创办人Joel Rearden表示,Android手机预装的第三方APP权限过大,甚至能够存取此项针对疫情控制需求而暴露的通知系统,也就是说,第三方软件有可能读取用户身边有关疫情的隐私资料。

Joel表示,虽然两公司都表示有关GAEN工具能够保障用户的隐私,但Google将有关系统收集到的资料存放在系统记录中,又允许Android系统的预装APP存取系统记录,就代表使用者的隐私有曝光的风险。

(图片来源:安全内参)

通报Google不受理

实际上,Joel早在今年2月19日已经通报Google有关风险存在,但Google并不同意这是漏洞,也拒绝提供抓漏洞奖金,因此Joel才决定公开此事。

GAEN系统是透过蓝牙在手机背景工作,不断接收和存储临近装置的“滚动式接触指标”(Rolling Proximity Identifier),当卫生机构获知某人确诊,就回透过APP将相关人士的RPIs传送给其他人,APP就会判断两人之间距离,并且提出警告和指示。

(图片来源:engadget)

“只有卫生机构能读取”

而两公司(Google与Apple)表示,只有授权卫生机构使用GAEN系统,强调所有资料只会存放在用户手机上,就算是Google和Apple公司也无法读取,但Joel表示Android系统允许开发商,网络营运商和合作伙伴在手机上预装APP,并且拥有特权读取系统记录,使他们具有读取GAEN资料的可能性。

MAC位址也也可能泄漏

他举例,小米Redmi Note 9预装了77款APP,当中已经有54款有能力读取有关记录,而Samsung的Galaxy A11预装的131款APP有89款有权限读取。

另外,手机本身不只是储存本身用户的RPIs,甚至包括了其他手机的MAC位址,也就是说,能够存取这些资料的APP能够利用这些资料来推测相关用户的健康状态,和与用户之间的关系。

Joel最后选择公布此漏洞,目的是为了督促Google修补风险。

文章资料来源:ITHome

0
0
0
0
0

Copy Link: