第三方软件可读取资料？专家：Apple与Google共同开发抗疫功能有隐私风险！

Apple和Google共同开发的手机抗疫功能，竟然会导致用户隐私有泄漏风险？

（图片来源：bankinfosecurity）

有泄漏资料风险？

Apple和Google合作推出了“蓝牙追踪传播工具Exposure Notification系统“（Google/Apple Exposure Notification，简称GAEN），用意是让用户得知身边是否有人已经确诊，并且提出警告，但据说却会导致用户隐私受泄漏风险？

（图片来源：techcrunch）

预装APP权限过大

根据专门分析行动APP的AppCensus共同创办人Joel Rearden表示，Android手机预装的第三方APP权限过大，甚至能够存取此项针对疫情控制需求而暴露的通知系统，也就是说，第三方软件有可能读取用户身边有关疫情的隐私资料。

Joel表示，虽然两公司都表示有关GAEN工具能够保障用户的隐私，但Google将有关系统收集到的资料存放在系统记录中，又允许Android系统的预装APP存取系统记录，就代表使用者的隐私有曝光的风险。

（图片来源：安全内参）

通报Google不受理

实际上，Joel早在今年2月19日已经通报Google有关风险存在，但Google并不同意这是漏洞，也拒绝提供抓漏洞奖金，因此Joel才决定公开此事。

GAEN系统是透过蓝牙在手机背景工作，不断接收和存储临近装置的“滚动式接触指标”（Rolling Proximity Identifier），当卫生机构获知某人确诊，就回透过APP将相关人士的RPIs传送给其他人，APP就会判断两人之间距离，并且提出警告和指示。

（图片来源：engadget）

“只有卫生机构能读取”

而两公司（Google与Apple）表示，只有授权卫生机构使用GAEN系统，强调所有资料只会存放在用户手机上，就算是Google和Apple公司也无法读取，但Joel表示Android系统允许开发商，网络营运商和合作伙伴在手机上预装APP，并且拥有特权读取系统记录，使他们具有读取GAEN资料的可能性。

MAC位址也也可能泄漏

他举例，小米Redmi Note 9预装了77款APP，当中已经有54款有能力读取有关记录，而Samsung的Galaxy A11预装的131款APP有89款有权限读取。

另外，手机本身不只是储存本身用户的RPIs，甚至包括了其他手机的MAC位址，也就是说，能够存取这些资料的APP能够利用这些资料来推测相关用户的健康状态，和与用户之间的关系。

Joel最后选择公布此漏洞，目的是为了督促Google修补风险。

文章资料来源：ITHome