Defcon,COVID-19 接触者追踪应用程序是隐私陷阱
两次 Defcon 安全会议演示发现,政府推出的应用程序消耗了不合理的数据量。
今年春天,世界各地的一些公共卫生当局和科技巨头纷纷投入开发接触者追踪应用程序。这些应用程序在确定新型冠状病毒可能影响的人群方面发挥着重要作用。
新冠肺炎接触者追踪应用程序的目的非常棒,它们可以帮助测试人员并相应地隔离他们。但危险也是显而易见的。
新冠肺炎接触者追踪应用程序拥有收集暴露您的活动、动作和关系的个人数据的能力。
本周,一场名为“Defcon”的黑客年度聚会正在网上举行。冠状病毒接触者追踪应用的潜在风险成为人们关注的焦点。
接触者追踪应用程序对数据的渴求心态
年度安全会议上的两场演讲集中讨论了联系人跟踪应用程序的隐私缺陷。他们的结果很明确,并且符合预期。应用程序往往会收集超出其需要的信息。
专家认为,政府必须在接触者追踪应用程序中避免这种数据匮乏的心态。
挪威安全研究员 Eivind Arvesen 在 Defcon 上发表演讲昨天,建议政府对这些应用程序采取更好的方法。他敦促各国政府扪心自问,
“他们需要多少数据才能解决这个具体问题?并且收集的数据仅此而已。”
阿维森介绍了挪威的接触者追踪应用程序,该应用程序现已停产。作为第三方审计的一部分,这位位于挪威奥斯陆的高级软件开发人员和架构师帮助审查了现已不复存在的 Norweigan 应用程序。
明天(8 月 9 日星期六)的另一场演讲将重点讨论 COVID-19 症状信息和跟踪应用程序所需的权限。它还将阐明联系人追踪应用程序所要求的权限。
是的,数字监控和跟踪帮助遏制了新加坡、韩国和中国等地的冠状病毒爆发。但这并不意味着应用程序应该被允许收集超出解决问题所需的数据。
COIVD 接触追踪器等应用程序的工作原理
人类接触追踪器的工作方式是追查 COVID-19 等致命疾病检测呈阳性的人的已知接触者。然后,当感染者使陌生人接触到这种疾病时,这些应用程序会寻求救援。
例如,如果两个陌生人站在一起或坐在一起,双方手机上安装的应用程序都会将对方记录为联系人。然后在接下来的几天里,如果他们中的任何一个检测结果呈阳性,他们会立即报告。
这些应用程序的成功取决于使用它们的人口比例。安装它们的人数越多,它们的工作效率就越高。
接触者追踪应用程序的建议退出计划
隐私专家开始警告风险不久之后,政府卫生机构开始寻求加强接触者追踪流程的申请。
政府需要对从电话设备收集的数据保持透明,并避免收集任何不需要的数据。他们还应该制定计划,在新冠肺炎灾难过去后删除数据并停止进一步收集。
捕获位置数据的应用程序
Arvesen 表示,与欧洲其他国家/地区相比,挪威的接触者追踪应用程序在隐私方面的表现最差。但世界上还有更多需要数据的应用程序。
这COVID19AppTracker.org创建者将在周六展示他们的发现,他们使用他们的自动系统扫描了全球 136 个应用程序。他们发现大多数此类应用程序都会请求它们不需要按假设运行的权限。
根据Covid19apptracker.org 共同创建者梅根·德布洛斯 (Megan DeBlois) 表示,四分之三的扫描应用程序都需要位置数据。有些应用程序仅供参考,因为它们只是帮助人们跟踪他们的新冠症状。此类应用程序没有理由收集用户的位置数据。
正如世界上任何隐私倡导者或安全专家都会说的那样,德布洛斯表示,她希望看到接触者追踪应用程序对其使用的数据更加透明。
理想情况下,政府应该将各自的应用程序开源。它将使隐私研究人员能够检查代码并向公众标记任何问题。
政府没有这样做的一个可能原因是他们开发应用程序的速度太慢。这种匆忙可能会让政府搁置通常在程序交付给用户之前进行的安全审查。
特色图片由 Pixabay 提供。
