TousAntiCovid 是针对 Covid-19 的政府追踪应用程序,被指控危及用户的隐私。三位计算机安全研究人员表示,6月份未经用户同意启动的统计收集系统给法国人的隐私和匿名带来了一系列问题。
去年六月,多抗新冠病毒已使用新的统计收集系统进行了自我更新。该系统旨在通过获取匿名数据来评估应用程序的有效性。根据一组研究人员的说法,“统计数据的收集违背了数据最小化原则,并危及安全和隐私保护财产”。
事实上,所建立的系统特别特别贪图个人数据。“统计数据包括非常详细的事件日志,它记录了用户所做的大多数操作,并带有准确的时间戳”,在剖析了应用程序代码后,专家们感到遗憾。该数据每 12 小时收集一次。
另请阅读:一个错误阻止您检索健康通行证以导入 TousAntiCovid
通过结合获得的数据实施不同的协议,即ROBERT和Cléa,可以绘制出用户习惯的画像。“如果 Alice 和 Bob 整个星期都在一起吃午餐,他们的日志包含几乎同步的事件,服务器可以看到他们数据之间的相关性”调查背后的研究人员之一 Gaetan Laurent 在他的 Twitter 帐户上详细介绍了这一点。
最终,这些数据理论上可以开发出“社交图谱”用户之间的社交互动。具体来说,可以确定 TousAntiCovid 用户去喝酒了,或者去餐馆吃饭,与另一个。通过交叉引用其他收集的数据,用户的身份很快就会面临风险。
此安全缺陷是由于使用了不应相互通信的不同安全协议造成的。“蓝牙跟踪数据可以与应用程序统计数据相关联”,指出研究人员制作的报告。随着以下内容的增加,违规行为也扩大了允许您存储和显示健康通行证的功能。事实上,通行证是“主格”,回忆起该报告。
“这些问题与 TousAntiCovid 应用程序的设计选择直接相关,特别是选择将不同的系统放入同一应用程序中,这些系统应该是独立的”,估计报告的结论。为了遏制数据泄露的风险,研究人员特别建议降低时间戳信息的精度。
