当苹果和谷歌联合宣布Corona 19 Rich Contact Notification API时,他们承诺除非用户直接共享,否则收集到的信息将无法离开终端,而个人信息将被完全保留。但是,对于Android设备,发现了一个可能泄漏机密数据的漏洞,但是有报告称Google没有立即做出回应。
根据负责处理技术对社会影响的非营利组织The Markup的说法,问题在于系统日志中记录的机密信息可以由其他预安装的应用读取。换句话说,信息可以发送到开发应用程序的公司服务器。
对于Corona 19联系人通知应用程序,系统日志中可能包含有关此人是否已与测试阳性的人联系的数据,以及终端名称,MAC地址和其他应用程序广告标识符。据报道,已经发现预先安装在三星电子,摩托罗拉和华为等智能手机上的400多个应用程序具有读取此系统日志的权限,以用于崩溃报告或分析目的。
发现此漏洞的个人信息分析公司AppCensus表示,尽管它已于今年2月警告Google,但当时并未对此进行研究。 App Census报告说,它是与美国国土安全部签订的合同的一部分,但没有iPhone框架的类似问题。
根据Google通过电子邮件发送给Markup的声明,该公司在收到有关蓝牙标识符可以出于调试目的而临时访问某些系统级应用程序的问题的报告后,便开始分发此修补程序。它补充说,对Android设备的更新是几周前以滚动格式开始的,预计将在几天内完成。
Google还答复说,可能泄漏的蓝牙标识符不包含用户位置信息和其他标识信息,并且没有任何滥用的证据。相关信息可以在这里找到。
Add comment