由于担心冠状病毒,密歇根一所大学用有缺陷的应用程序追踪学生

2020-08-20 04:37:00

密歇根州一所小型文科学校阿尔比恩学院(Albion College)在6月份表示,将允许其近1500名学生从8月份开始返回校园,开始新学年。讲座的规模将受到限制,学期将在感恩节而不是12月结束。该校表示,将在教职员工和学生抵达校园后以及整个学年对他们进行测试。

但在学生开始进入校园不到两周前,该校宣布将要求他们下载并安装一款名为Aura的接触者追踪应用,称这将有助于应对校园内的任何冠状病毒爆发。

这是个圈套。这款应用程序旨在全天候跟踪学生的实时位置,没有办法选择退出。

当学生新冠肺炎的检测呈阳性时,Aura应用程序会让学校知道。它还带有接触者追踪功能,当学生与病毒检测呈阳性的人接近时,会发出警报。但这一功能需要持续访问学生的实时位置,该学院表示,这是跟踪任何暴露的传播所必需的。

学校强制使用这款应用引发了隐私问题,并促使家长发起请愿,要求可选使用这款应用。

更糟糕的是,这款应用至少有两个安全漏洞,是在应用推出后才发现的。其中一个漏洞允许访问应用程序的后端服务器。另一个允许我们推断一个学生的新冠肺炎测试结果。

漏洞已修复。但学生们仍需使用这款应用,否则将面临停学。

Aura到底是如何产生的,Albion是如何成为其第一个主要客户的,这是一个谜。

AURA是在大流行开始后的几个月里由Nucleus Careers开发的,Nucleus Careers是一家总部位于宾夕法尼亚州的招聘公司,成立于2020年,除了在最近的一份新闻稿中短暂提到外,在构建或开发医疗保健应用方面没有明显的历史或经验。这款应用程序是与Genetworx合作开发的,Genetworx是一家总部位于弗吉尼亚州的实验室,提供冠状病毒测试。(我们询问了Genetworx关于这款应用及其参与的情况,但没有收到该公司的回复。)。

这款应用程序可以帮助学生定位和安排新冠肺炎在校园内的测试。一旦学生接受新冠肺炎的测试,结果就会被输入到应用程序中。

如果检测结果为阴性,该应用程序会显示一个二维码,扫描时会显示该学生“经过认证”没有感染病毒。如果该学生检测呈阳性或尚未接受检测,该学生的二维码将显示为“被拒绝”。

AURA使用学生的实时位置来确定他们是否接触过另一个感染病毒的人。大多数其他联系人追踪应用程序都使用附近的蓝牙信号,专家说这对隐私更友好。

数百名学者认为,收集和存储位置数据不利于隐私。

除了必须安装这款应用外,学生们还被告知,由于担心与更广泛的社区接触可能会将病毒带回校园,他们在本学期期间不得未经许可离开校园。

TechCrunch看到的一封发给学生的电子邮件显示,如果学生未经许可离开校园,该应用程序将向学校发出警报,该学生的身份证将被锁定,校园建筑的访问权限将被撤销。

电子邮件中写道,学生们不允许关闭自己的位置,如果他们违反了这项政策,可以被停学并“离开校园”。

在美国,像Albion这样的私立大学在很大程度上可以制定和执行自己的规则,并被比作“影子刑事司法系统-没有刑事法院的任何保护或权力”,在那里,学生可以面临几乎任何理由的纪律处分和驱逐,几乎没有追索权。去年,TechCrunch报道了塔夫茨大学(Tuft University)的一名学生因涉嫌年级黑客行为而被开除的事件,尽管有对她有利的无罪证据。

Albion在一次在线问答中说,“只有当学生的位置数据检测呈阳性,或者他们没有按照适当的程序离开校园时,他们的位置数据才会被访问。”但该校尚未表示将如何确保学生位置数据不会被不当访问,或者谁有权访问。

一位要求不具名的大四学生告诉TechCrunch:“我觉得这比什么都可怕,让我对回去感到非常焦虑。”

这名学生要求使用她的推特账号@Q3w3e3,她在副手中对应用程序进行反编译和分析。“我只是想知道应用程序在做什么,”她告诉TechCrunch。

在应用程序的源代码中,她发现了应用程序后端服务器的硬编码密钥,这些密钥托管在亚马逊网络服务(Amazon Web Services)上。她在推特上发布了自己的发现-并进行了仔细的编辑,以防止滥用-并向Nucleus报告了问题,但没有得到回复。

一位要求使用吉尔达账号的安全研究人员正在看着关于奥拉的推文滚滚而来。吉尔达还深入研究了这款应用程序,找到并测试了钥匙。

吉尔达告诉TechCrunch:“这些钥匙实际上是‘完全访问’的。”她说,密钥-后来更改了-让她能够访问应用程序的数据库和云存储,她在这些数据库和云存储中找到了患者数据,包括新冠肺炎的检测结果,其中包括姓名、地址和出生日期。

Nucleus在同一天推出了更新版本的应用程序,并删除了密钥,但没有承认存在漏洞。

TechCrunch还想看看引擎盖下的Aura是如何工作的。我们使用网络分析工具Burp Suite来了解进出应用程序的网络数据。(我们以前已经这样做过几次了。)。使用我们备用的iPhone,我们注册了一个Aura帐户并登录。这款应用程序通常会在最近的新冠肺炎测试中拉入。在我们的案例中,我们没有任何二维码,所以应用程序生成的可扫描二维码宣布,我被“拒绝”进入校园-这是意料之中的。

但我们的网络分析工具显示,二维码不是在设备上生成的,而是在Aura网站的隐藏部分生成的。生成二维码的网址包括Aura用户的账号,这在应用程序中是看不到的。如果我们将网址中的帐号增加或减少一位数,就会为该用户的Aura帐户生成二维码。

也就是说,因为我们可以看到另一个用户的二维码,所以我们也可以看到该学生的全名、他们的新冠肺炎考试成绩状态,以及该学生被认证或被拒绝的日期。

TechCrunch没有列举每个二维码,但通过有限的测试发现,该漏洞可能暴露了大约1.5万个二维码。

我们向卫报防火墙(Guardian Firewall)的安全研究员兼首席执行官威尔·斯特拉法赫(Will Strafach)描述了这款应用的漏洞。Strafach说,这款应用听起来像是一项“紧急任务”,在安全审查期间很容易发现枚举漏洞。“他们不知道的事实告诉我,他们甚至没有费心去做这件事,”他说。斯特拉法赫说,源代码中留下的密钥暗示了“一种‘只管它’的态度,达到了令人担忧的极端程度。”

Albion校长马修·约翰逊(Matthew Johnson)在与TechCrunch分享的一封日期为8月18日的电子邮件中证实,学校已经启动了对这款应用的安全审查。

我们向Nucleus发送了几个问题-包括有关漏洞的问题,以及该应用程序是否通过了安全审计。在TechCrunch详细说明该错误后,Nucleus修复了二维码漏洞。但该公司发言人托尼·德法齐奥(Tony DeFazio)没有发表评论。他说:“我通知公司你的询盘。”这位发言人没有回复后续电子邮件。

在回应这名学生的发现时,Albion表示,这款应用程序符合健康保险携带和责任法案(Health Insurance Porability And Accounability Act,简称HIPAA),该法案监管健康数据和医疗记录的隐私。HIPAA还要求公司-包括大学-对涉及健康数据的安全漏洞负责。这可能意味着巨额罚款,在某些情况下,还可能被起诉。

至少还有另外两所学校,巴克内尔大学和坦普尔大学,将在秋季学期重新开学,要求学生通过Genetworx提交两项新冠肺炎阴性测试。这些学校没有使用Aura,而是使用他们自己的学生应用程序来提供测试结果。

与此同时,阿尔比恩的学生在是遵守还是拒绝并面临后果的问题上存在分歧。@Q3w3e3表示,她不会使用这款应用。她告诉TechCrunch:“我正试图与学校合作,找到一种替代的测试方式。”

“我非常讨厌它。我认为这侵犯了她的隐私和公民自由,“一名阿尔比恩学生的家长伊丽莎白·伯班克(Elizabeth Burbank)说,她在请愿书上签名反对学校的追踪努力。

“当然,我确实想保护我女儿的安全,也想帮助保护其他人的安全。我们非常乐意尽我们的一份力。然而,我不相信GPS跟踪器是可行的。“她说。“给我们洗手。吃得健康。并继续研究治疗方法和疫苗。这应该是我们关注的焦点。

她说:“我确实打算尽我所能保护我女儿的隐私权,并挑战她在社区自由行动的权利。”

通过Signal和WhatsApp安全发送提示至+1 646-755-8849或发送加密电子邮件至:[email protected]