隐私分析公司AppCensus周二披露,谷歌和苹果的COVID-19暴露通知应用程序的Android版本有一个隐私缺陷,让其他预装应用程序有可能看到敏感数据,包括某人是否曾与COVID-19检测呈阳性的人接触过。谷歌接到消息后回应称正在准备对该漏洞的修复。
这个漏洞违背了谷歌首席执行官桑达尔-皮查伊、苹果首席执行官蒂姆·库克和许多公共卫生官员的多次承诺,即暴露通知程序收集的数据不能在个人设备之外共享。
据The Markup报道,AppCensus在2月份首次向谷歌报告了这个漏洞,但该公司未能解决这个问题。AppCensus的联合创始人兼取证负责人Joel Reardon告诉The Markup,修复这个问题就像删除几行非必要的代码一样简单。”Reardon说:”明明有很简单的修复 *** ,我很惊讶他们没有这么做。”
谷歌发言人José Castañeda在给The Markup的一份电子邮件声明中说:”我们被告知一个问题,即蓝牙标识符暂时可以被特定的系统级应用程序用于调试目的,我们立即开始推出一个解决方案来解决这个问题。”
曝光通知系统的工作原理是在用户的手机和其他激活了该系统的手机之间ping出匿名的蓝牙信号。然后,如果有人使用该应用程序对COVID-19检测呈阳性,他们可以与卫生部门合作,向任何有相应信号记录在手机内存中的手机发送警报。
在Android手机上,追踪数据被记录在特权系统内存中,手机上运行的大多数软件都无法访问。但是,制造商预装的应用程序有特殊的系统权限,可以让它们访问这些日志,从而使敏感的联系人追踪数据处于危险之中。但是,目前没有迹象表明任何应用程序实际收集了这些数据。
预装的应用程序以前曾利用过它们的特殊权限,有调查显示,它们有时会收集地理位置信息和手机联系人等数据,但该分析报告没有发现iPhone上的曝光通知系统有任何类似的问题。
AppCensus的首席技术官Serge Egelman在Twitter上发表的一份声明中说,这个问题是一个实施上的问题,而不是曝光通知框架所固有的bug,但它不应该削弱对公共卫生技术的信任。我们希望带来的教训是,正确处理隐私问题真的很难,系统中的漏洞总是会被发现,但共同努力补救这些问题符合所有人的利益。”
(消息及封面来源:cnBeta)
近日,据Reddit上的帖子和Cyber Kendra上的一份报告显示,LAPSUS$ (Lapsus) 组织入侵了微软的DevOps帐户,该组织此前入侵了NVIDIA和三星。 下面的截图由Lapsus发布,但很快被删除,由Cyber Kendra保存了下来。该组织声称可以访问微软的一些DevOps...
Hackernews 编译,转载请注明出处: 一个名为“RED-LILI”的攻击者发布了近800个恶意模块,与正在进行的针对 NPM 软件包库的大规模供应链攻击活动联系紧密。 以色列安全公司 Checkmarx 说: “通常,攻击者使用一个匿名的一次性 NPM 帐户发动攻击。”“这一次,攻击...
早在 5 月,微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds 网络攻击事件负责,并同企业、政府和执法机构达成了合作,以遏制此类网络攻击的负面影响。早些时候,微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送方法。可知其用于造成破坏,并获...
Hackernews 编译,转载请注明出处: 西班牙国家警察局(National Police ía Nacional)上周表示,该局捣毁了一个未命名的网络犯罪组织,并逮捕了8名涉嫌与一系列以金融欺诈为目的的 SIM 卡调换攻击有关的罪犯。 犯罪团伙的嫌疑人伪装成银行和其他组织有信任力的代表,使用...
名为Gary Bowser的Team-Xecuter黑客组织成员已经承认了与销售硬件和软件有关的指控,这些硬件和软件允许人们在各种游戏机上玩未经授权或盗版的游戏,包括任天堂的几种游戏机。此前,美国任天堂公司在今年早些时候对该黑客发起了诉讼。 被司法部描述为世界上最臭名昭著的电子游戏盗版集团之一的T...
在今年 8 月出现大规模数据泄露之后,美国电信运营商 T-Mobile 在此遭受网络攻击。根据 The T-Mo Report 公布的文件,这一次攻击者进入了“少数”客户的账户。 在这份报告中,受影响的客户要么成为 SIM 卡交换攻击的受害者(这可能允许某人绕过由短信驱动的双因素认证),要么个人计...
