报告发现,大学联系人追踪应用程序很容易泄露个人数据

2020-08-21 04:41:39

为了缓解新冠肺炎的潜在传播,密歇根州的一所大学要求所有学生安装一款应用,该应用将随时跟踪他们的实时位置。不幸的是,研究人员已经在这款应用中发现了两个主要漏洞,这两个漏洞可能会暴露学生的个人和健康数据。

阿尔比恩学院(Albion College)在秋季学期开始前两周通知学生,他们将被要求安装并运行名为Aura的接触追踪应用程序。

各州正在部署的暴露通知应用程序,基于苹果和谷歌今年早些时候宣布的iOS和Android框架,旨在将对隐私的损害降至最低。该框架基本上使用手机的蓝牙功能作为接近传感器,以查看安装它的手机是否靠近报告新冠肺炎检测呈阳性的人的手机。

然而,据TechCrunch报道,AURA转而全力以赴进行实时位置跟踪。这款应用会收集学生的姓名、所在地和新冠肺炎的状态,然后生成包含这些信息的二维码。如果数据显示学生的测试结果为阴性,则显示代码;如果学生的测试结果为阳性或没有测试数据,则显示代码为";certified";。除了跟踪学生新冠肺炎的状态外,如果检测到学生未经许可离开校园,该应用还将锁定学生的身份证,并取消进入校园的权限。

TechCrunch使用网络分析工具发现,代码不是在设备上生成的,而是在隐藏的Aura网站上生成的-TechCrunch随后可以轻松地更改URL中的账号,为其他账户生成新的二维码,并获得对其他个人个人数据的访问权限。

Albion的一名学生查看了这款应用的源代码,还发现了该应用的后端服务器的硬编码安全密钥。据TechCrunch报道,一名研究人员查看并验证了这些密钥可以访问患者数据,包括新冠肺炎的测试结果,其中包括姓名、地址和出生日期。

AURA的开发者Nucleus Careers在研究人员和TechCrunch就这两个漏洞联系他们后,修复了这两个漏洞。然而,学生和家长仍然热情不高。一名阿尔比恩的学生告诉该网站,我认为这比任何事情都更令人毛骨悚然,这让我对回去感到非常焦虑。

全国各地的学院和大学都在拼命寻找管理2020年秋季学期的方法。许多学校只在今年秋天提供在线教育。一些学校本月尝试照常开学,但在学生中突然出现一连串新冠肺炎案件后,他们很快不得不放弃计划,转向远程学习。其他人则小心翼翼地试图找到能让学生更安全地返回教室的中间路径。

同样位于密歇根州的奥克兰大学计划部署可穿戴健康跟踪技术-一种生物按钮-来跟踪症状和新冠肺炎在校园人群中的潜在传播。最初,该大学计划强制所有住在校园内的学生使用BioButton,但学校领导层在学生的请愿后收回了这一计划。

大学校园是一系列COVID接触者追踪工作的理想试验场。学校可以要求学生下载和安装应用程序,这是卫生官员在普通人群中做不到的-尽管正如Politico指出的那样,学生的参与和遵守可能不够充分和热情,特别是在披露可能在未成年人饮酒的联系人方面。

新冠肺炎给这件事增添了一种紧迫感,但大学校园里的入侵位置跟踪并不是什么新鲜事。几年来,全国各地的学校一直在建设跟踪系统。

例如,2019年,阿拉巴马大学(University Of Alabama)开始使用位置跟踪技术来查看哪些学生提前离开了足球比赛。留到第四季度的学生更有可能拿到冠军赛的门票。

正如华盛顿邮报去年报道的那样,其他学校依靠蓝牙信标和校园WiFi网络来跟踪校园周围的学生。这些数据不仅全面跟踪学生,并将他们的行为与同龄人产生的规范进行比较,而且还可以用于评分和出勤目的。例如,学生不能通过关闭手机来选择退出,因为这样他们就会被标记为缺席,并面临处罚。坦普尔大学的一名学生也告诉“华盛顿邮报”,学校追踪他的应用程序不起作用,管理人员不会相信他的话,因为数据有问题。

面部识别也正在进入高等教育领域。倡导组织争取未来(Fight For The Future)在大约100所校园中确定了10所已经在校园使用面部识别技术的校园,另有30所左右的校园表示,他们可能会选择在未来部署这项技术。

学校管理人员并不是唯一一个不顾一切地跟踪学生在校园内外活动的人。一些忧心忡忡的父母也转向了位置跟踪,以便在他们的孩子成年并离开去上大学时远程监视他们的孩子。