第三方软件可读取资料?专家:Apple与Google共同开发抗疫功能有隐私风险!
Apple和Google共同开发的手机抗疫功能,竟然会导致用户隐私有泄漏风险?
(图片来源:bankinfosecurity)
有泄漏资料风险?
Apple和Google合作推出了“蓝牙追踪传播工具Exposure Notification系统“(Google/Apple Exposure Notification,简称GAEN),用意是让用户得知身边是否有人已经确诊,并且提出警告,但据说却会导致用户隐私受泄漏风险?
(图片来源:techcrunch)
预装APP权限过大
根据专门分析行动APP的AppCensus共同创办人Joel Rearden表示,Android手机预装的第三方APP权限过大,甚至能够存取此项针对疫情控制需求而暴露的通知系统,也就是说,第三方软件有可能读取用户身边有关疫情的隐私资料。
Joel表示,虽然两公司都表示有关GAEN工具能够保障用户的隐私,但Google将有关系统收集到的资料存放在系统记录中,又允许Android系统的预装APP存取系统记录,就代表使用者的隐私有曝光的风险。
(图片来源:安全内参)
通报Google不受理
实际上,Joel早在今年2月19日已经通报Google有关风险存在,但Google并不同意这是漏洞,也拒绝提供抓漏洞奖金,因此Joel才决定公开此事。
GAEN系统是透过蓝牙在手机背景工作,不断接收和存储临近装置的“滚动式接触指标”(Rolling Proximity Identifier),当卫生机构获知某人确诊,就回透过APP将相关人士的RPIs传送给其他人,APP就会判断两人之间距离,并且提出警告和指示。
(图片来源:engadget)
“只有卫生机构能读取”
而两公司(Google与Apple)表示,只有授权卫生机构使用GAEN系统,强调所有资料只会存放在用户手机上,就算是Google和Apple公司也无法读取,但Joel表示Android系统允许开发商,网络营运商和合作伙伴在手机上预装APP,并且拥有特权读取系统记录,使他们具有读取GAEN资料的可能性。
MAC位址也也可能泄漏
他举例,小米Redmi Note 9预装了77款APP,当中已经有54款有能力读取有关记录,而Samsung的Galaxy A11预装的131款APP有89款有权限读取。
另外,手机本身不只是储存本身用户的RPIs,甚至包括了其他手机的MAC位址,也就是说,能够存取这些资料的APP能够利用这些资料来推测相关用户的健康状态,和与用户之间的关系。
Joel最后选择公布此漏洞,目的是为了督促Google修补风险。
文章资料来源:ITHome