北达科他州的冠状病毒应用程序一直在向Foursquare和谷歌发送数据

2020-05-23 03:42:04

根据智能手机隐私公司Jumbo Privacy的一份新报告,北达科他州的官方冠状病毒接触追踪应用程序旨在检测人们是否可能接触到冠状病毒,它会向Foursquare发送位置数据和唯一的用户标识符,以及向谷歌和一家漏洞跟踪公司发送其他数据。

这款名为Care19的应用程序由一家名为ProudCrowd的公司开发,该公司还为北达科他州的体育迷制作了一款基于位置的社交网络应用程序,为每个使用它的人生成一个随机的ID号。然后,它可以“全天匿名缓存个人的位置”,根据国家网站的说法,它可以一次存储关于人们在哪里度过至少10分钟的信息。如果用户的冠状病毒检测呈阳性,他们可以将这些信息提供给北达科他州卫生部用于接触者追踪目的,这样其他花时间接近病毒患者的人就有可能得到通知。

根据该应用程序的隐私政策,“位置数据是你的隐私,安全地存储在ProudCrowd,LLC服务器上”,不会与第三方共享,“除非你同意,或者ProudCrowd是根据联邦法规强制的。”

但根据Jumbo的报告,这款应用程序会将随机的ID号码,以及用于广告目的的手机ID和用户访问的地点的明显纬度和经度发送给领先的位置数据提供商Foursquare。据监测该应用产生的互联网流量的Jumbo称,该应用还将随机ID发送到Bugfender运行的服务器。Bugfender是一项总部位于巴塞罗那的服务,应用制造商使用该服务来跟踪和诊断软件故障。据报道,它伴随着手机的名字,通常包括设备所有者的名字。Jumbo发现,手机的广告ID也会被发送到谷歌服务器,这些服务器似乎与谷歌的Firebase服务有关联。

Jumbo首席执行官皮埃尔·瓦莱德(Pierre Valade)表示:“我们的主要观点是,隐私政策没有披露与第三方共享的情况。”瓦莱德和Jumbo首席技术官简·西切曼之前曾在Foursquare工作,但该公司强调,这项研究并不是基于他们在公司期间收集的任何信息。在其报告中,Jumbo建议人们在隐私政策更加明确或应用程序更新以停止共享数据之前不要安装该应用程序。

在一份声明中,ProudCrowd证实使用了Bugfender和Foursquare服务,并表示计划在未来更新其隐私政策和该应用程序。

该公司的声明称:“根据我们Foursquare协议的条款,Care19应用程序的用户界面清楚地在我们的‘附近地点’屏幕上显示了Foursquare的用法。”“然而,我们的隐私政策目前没有明确提到这种用法。我们将与我们的州合作伙伴合作,在我们的隐私政策中更加明确。值得注意的是,我们与Foursquare达成的协议不允许他们收集Care19数据或以任何形式使用这些数据,只是简单地确定附近的企业并将其返回给我们。“。

在给Fast Company的一封电子邮件中,ProudCrowd创始人蒂姆·布鲁金斯(Tim Brookins)写道,这个随机ID是无意中包含在给Foursquare的消息中的,公司将尽快删除它。

布鲁金斯写道,向Foursquare传输信息是“相当良性的,因为Foursquare实际上并不收集我们发送的数据。”“但对我们来说很容易移走。保安公司抓得不错。“。

北达科他州公共信息官员Jennifer Skjod表示,该州支持ProudCrowd的声明。

在谈到布鲁金斯的回应时,她说:“我们相信,无论他做出什么回应,我们都会这么说。”

Foursquare已经超越了它的同名城市指南应用程序,为其他软件公司提供位置跟踪。一位公司发言人在给Fast Company的电子邮件中写道:“Foursquare从我们SDK的免费用户Care19那里收到了一些数据,但我们没有以任何方式使用这些数据,这些数据很快就被丢弃了。”对于我们SDK的免费用户,Foursquare不会使用、重新打包或转售数据。从本质上说,我们可能收到的任何数据都会立即被丢弃。“。

根据该公司的声明,ProudCrowd还计划在该应用程序的未来版本中通过Bugfender opt-in进行“诊断数据收集”。

根据声明,“这将使用户在需要技术支持时可以选择发送诊断信息,并避免过度收集我们不需要的数据。”

在发给Fast Company的一封电子邮件中,Bugfender的联合创始人兼首席执行官乔迪·希梅内斯表示,他无法确认ProudCrowd的应用程序是否使用了Bugfender的软件。他写道,一般来说,应用程序发送到服务器的数据会安全存储,不会与第三方共享,也不会用于用户档案或广告。

他写道:“我们通过向应用程序开发者收取使用该工具的费用来赚钱,他们的数据属于他们。”“我们不会搞砸它。”

布鲁金斯说,隐私政策也将更新,以反映发送给谷歌的数据。

他写道:“我们的隐私政策目前在第二段有一个相当笼统的声明,指出我们收集数据是出于应用的可用性和应用的可靠性原因(应用崩溃等)。”“我们修订后的隐私政策将在更多细节中指出这一点,并指明第三方(谷歌Firebase)的名字。”

谷歌发言人在给Fast Company的电子邮件中写道,Google Analytics for Firebase对哪些信息可以发送到该服务有规定。

这位发言人写道:“任何选择使用Google Analytics for Firebase的开发者都被禁止传递信息,比如电子邮件地址或电话号码,这些信息可能会向谷歌个人识别某人的身份,我们使用机器学习和人工审查相结合的方式来识别健康应用,并将它们标记为没有资格使用广告。”

Jumbo首席执行官瓦莱德表示,他对ProudCrowd的声明感到鼓舞,并称如果公司更新该应用程序和隐私政策,Jumbo可能会修改不使用该应用程序的建议。

接触者追踪被视为减少冠状病毒传播的一种潜在方式。接触者追踪是一种潜在的减少冠状病毒传播的方式,通过这种方式,潜在的接触者会得到通知,这样他们就可以接受检测,并有可能接受治疗或隔离。苹果和谷歌已经开发了软件工具包,让公共卫生机构可以构建iOS和Android应用程序,通过蓝牙实现自动手机接近检测,许多州和地方机构已经开始雇佣人员手动追踪感染病毒的人的联系人。北达科他州官员表示,未来版本的Care19将采用苹果-谷歌的新技术。谷歌发言人表示,该应用程序目前没有使用该系统。

这位发言人在给Fast Company的电子邮件中写道:“这款应用程序没有使用谷歌的曝光通知API,该API严格禁止应用程序收集或使用Android的广告ID。”

这类应用程序的运行效果如何,人们是否会安装足够数量的应用程序以发挥作用,这仍然是一个悬而未决的问题,一些调查显示,人们对这项技术持怀疑态度。专家和活动人士也表达了对错误结果和隐私问题的担忧。上周国会提出的一项法案将限制此类数据的使用方式。

华盛顿大学法学院(University Of Washington School Of Law)副教授、拟议法律的支持者瑞安·卡洛(Ryan Calo)在写给Fast Company的一封电子邮件中写道,“与接触者追踪相关的收集到的数据不应用于任何次要目的,更不用说商业目的了。”