隐私分析公司AppCensus周二披露,谷歌和苹果的COVID-19暴露通知应用程序的Android版本有一个隐私缺陷,让其他预装应用程序有可能看到敏感数据,包括某人是否曾与COVID-19检测呈阳性的人接触过。谷歌接到消息后回应称正在准备对该漏洞的修复。
这个漏洞违背了谷歌首席执行官桑达尔-皮查伊、苹果首席执行官蒂姆·库克和许多公共卫生官员的多次承诺,即暴露通知程序收集的数据不能在个人设备之外共享。
据The Markup报道,AppCensus在2月份首次向谷歌报告了这个漏洞,但该公司未能解决这个问题。AppCensus的联合创始人兼取证负责人Joel Reardon告诉The Markup,修复这个问题就像删除几行非必要的代码一样简单。”Reardon说:”明明有很简单的修复 *** ,我很惊讶他们没有这么做。”
谷歌发言人José Castañeda在给The Markup的一份电子邮件声明中说:”我们被告知一个问题,即蓝牙标识符暂时可以被特定的系统级应用程序用于调试目的,我们立即开始推出一个解决方案来解决这个问题。”
曝光通知系统的工作原理是在用户的手机和其他激活了该系统的手机之间ping出匿名的蓝牙信号。然后,如果有人使用该应用程序对COVID-19检测呈阳性,他们可以与卫生部门合作,向任何有相应信号记录在手机内存中的手机发送警报。
在Android手机上,追踪数据被记录在特权系统内存中,手机上运行的大多数软件都无法访问。但是,制造商预装的应用程序有特殊的系统权限,可以让它们访问这些日志,从而使敏感的联系人追踪数据处于危险之中。但是,目前没有迹象表明任何应用程序实际收集了这些数据。
预装的应用程序以前曾利用过它们的特殊权限,有调查显示,它们有时会收集地理位置信息和手机联系人等数据,但该分析报告没有发现iPhone上的曝光通知系统有任何类似的问题。
AppCensus的首席技术官Serge Egelman在Twitter上发表的一份声明中说,这个问题是一个实施上的问题,而不是曝光通知框架所固有的bug,但它不应该削弱对公共卫生技术的信任。我们希望带来的教训是,正确处理隐私问题真的很难,系统中的漏洞总是会被发现,但共同努力补救这些问题符合所有人的利益。”
(消息及封面来源:cnBeta)
Windows 10/11 系统中的 Windows 安全中心现在变得更令人安心了。正如微软操作系统安全和企业副总裁 David Weston 所宣布的那样,内置的免费 Windows 杀毒软件现在提供了一个新的选项,可以防止脆弱的驱动程序。只不过目前还没有在 Windows 11 系统中看到这个选...
近期,网络安全公司Binarly研究人员发现16个影响惠普企业设备的统一可扩展固件接口高危漏洞。攻击者可以利用这些漏洞植入固件,使其能够在操作系统更新后继续存在并绕过 UEFI安全启动、Intel Boot Guard和基于虚拟化的安全性。受影响的设备包括多个惠普企业设备,如笔记本电脑、...
微软今天宣布近日捣毁了一个名为 ZLoader 的主要犯罪僵尸网络,这也是使用 XLM 宏作为攻击面的僵尸网络之一。微软的最新行动包括技术和法律活动,以破坏利用 ZLoader 作为恶意软件即服务(malware-as-a-service)的犯罪集团的运作。 在本次捣毁行动中,微软还锁定了一位开发...
美国证券交易委员会 (SEC) 5月6日发布声明,称对芯片制造商英伟达的指控,双方已达成一致,英伟达承认未能充分披露挖矿对其游戏业务的影响,同意支付550万美元的罚款。 此前,SEC认为,从 2017 年开始,已有越来越多的用户使用英伟达生产的游戏显卡(GPU) 来挖掘加密货币,但在2018财年的...
据BBC报道,本月有55名阿富汗人的资料泄露,据称,他们是Arap方案(阿富汗重新安置和援助政策)候选人。他们的电子邮件地址对所有收件人都是可见的,而这些接收者中至少有一人来自阿富汗国家军队。根据Arap方案,任何协助英国在阿富汗战斗的阿富汗人,都可以申请到英国,以免受到塔利班的迫害。如果本次的泄...
独立安全研究员 Park Minchan 透露,苹果 macOS Finder 中存在一个零日漏洞,攻击者可以利用这个漏洞在运行任何 macOS 版本的 Mac 系统上运行任意命令。 这个漏洞是因为 macOS 处理 inetloc 文件的方式会使它运行嵌入在其中的命令。SSD Secure Di...
