40%的COVID-19联系人跟踪应用程序缺乏基本保护

卫队广场宣布发布了一份报告,该报告重新评估了安全防护级别和隐私风险。 新冠肺炎 联系人跟踪应用程序。报告发现,在分析的95种移动应用中,有60%使用了官方 API 用于安全的曝光通知。对于剩下的40%的联系人跟踪应用程序(大多数收集GPS位置数据),安全性至关重要,但仍然落后。

信息系统

“在开发处理敏感用户数据的任何应用程序时,遵循最佳安全实践总是很重要的,当该应用程序是全球抗击大流行的重要工具时,这一点尤为重要。

收集用户位置数据和个人身份信息的联系人跟踪应用程序是特别有吸引力的攻击目标,进一步增强了开发人员实施基本安全保护的需求。” 格兰特·古德斯,首席科学家 卫队广场.

大多数应用缺乏基本的安全保护

世界各地的政府已经委托并分发了联系人跟踪应用程序,以跟踪并通知个人暴露于COVID-19的情况,以便他们采取适当措施以防止病毒传播。

到2020年6月,对政府资助的Android移动应用程序COVID-19联系人追踪进行了分析,发现绝大多数人甚至都缺乏基本的安全保护。在此报告中,重新分析了原始的Android应用程序(不再使用的那些除外),添加了自那时以来出现的新应用程序,并包括了iOS移动应用程序以深入了解这两个市场领先的移动操作系统。

普遍使用Exposure Notification API

在更新的分析中,发现与6月份的报告相比,苹果和谷歌开发的Exposure Notification API的使用要广泛得多。值得注意的是,有62%的Android应用程序和58%的iOS应用程序正在使用API​​。

但是,不使用Exposure Notification API的联系人跟踪应用程序已应用了最低级别的基本安全保护技术或未应用任何安全保护技术。

研究表明,尽管已经取得了进展,但联系人跟踪应用程序之间的安全性和隐私问题仍然存在。尤其是,该分析发现,使用GPS,蓝牙或两者的结合来收集敏感数据的应用程序正在以危害用户安全和隐私的方式运行。

新冠肺炎联系人跟踪应用程序的主要发现

  • 33%的iOS和20%的Android应用没有保护
  • 61%的iOS和75%的Android应用程序具有一或两个安全保护
  • 6%的iOS和5%的Android应用具有三到四个安全保护
  • 0%的iOS和Android应用程序具有五个或更多安全保护

根据评估,基于Exposure Notification API的应用程序具有最小的安全问题。通过与受感染个体的接近度(使用GPS,构建自定义蓝牙接近度检测或两者)来检测暴露的替代方法,引起了重大的安全和隐私问题。

收集GPS数据并需要敏感身份凭证的不受保护的移动应用程序有利用风险,并有可能公然侵犯用户数据隐私。

“应用程序,特别是用户在需要个人或位置数据的移动设备上下载的应用程序,应始终结合适当的安全保护和代码强化技术,以确保充分保护他们收集的数据的隐私,”古德斯说。

“为了成功应对COVID-19的传播,开发人员,公共卫生当局和政府应将联系人追踪应用程序的安全放在首位。”

分享这个