AppCensus的共同创办人、专门分析移动程序的Joel Reardon,本周披露了Google/苹果暴露通知(Google/Apple Exposure Notification,GAEN)系统的实例缺陷,指出尽管不论Google或苹果都宣称GAEN系统得以保障用户的隐私,但Google将GAEN所搜集的信息存放在系统记录中,又允许Android手机的预装程序访问系统记录,而导致用户的隐私曝光。此外,Reardon其实在今年的2月19日便已通报Google,但Google并不同意这是个漏洞,也拒绝提供漏洞挖掘奖金,使得Reardon选择公开该缺陷。
iPhone与Android手机所支持的GAEN系统,是通过蓝牙于背景不断接收与存储来自邻近设备的滚动式接触指标(Rolling Proximity Identifier,RPI),该RPI不但是随机的,而且每个设备的RPI每15分钟就会变更一次,当卫生机关得知某人确诊COVID-19时,就会通过相关的程序,将该名用户的RPIs发送给其它用户,程序就可比对该手机上所存放的RPIs,以判断是否曾与确诊病患近距离接触,进而提出警告或指南。
Google与苹果仅授权卫生机关使用GAEN系统,且强调所有的资料都只存放在用户的手机上,不管是苹果或Google都无法访问,然而,Reardong指出,由于Google允许设备制造商、网络运营商或其合作伙伴在Android手机上预装程序,且让这些程序拥有某些特权,像是访问系统记录等,使得这些预装的第三方程式也能访问GAEN系统所搜集与存储的资料。
例如小米的Redmi Note 9就预装了77款程序,其中有54款可以读取系统记录,三星的Galaxy A11则预装131款程序,其中的89款也能读取系统记录。
此外,手机上不只存放了自己的RPIs、其它手机的RPIs,也存放了其它手机的随机Mac Address,而这些信息即足以暴露用户的隐私。
Reardon说,访问这些系统记录的实体,将可利用这些RPIs记录与卫生机关所公布的确诊RPIs,来推断用户的健康状态;且当一个实体同时读取了许多用户的RPIs时,也能推测不同用户之间的关系;此外,虽然不管是RPIs或Mac Address都是随机的,但Mac Address还有其它的应用,可与地点、广告ID或Android ID产生连接,若结合RPIs/Mac Address,以及Mac Address/地点/Android ID等两个数据库,就会暴露更多的用户信息。
虽然这是Google于Android上实例GAEN系统的问题,但它同时也会影响iPhone用户,因为Android也会搜集来自iPhone的RPIs与Mac Address。
Reardon表示,他曾与Google辩论是否要公开该缺陷,最后他选择公诸如世,因为这样并不会对用户带来更大的风险,还能督促Google修补。