研究：Android預裝程式可存取疫情追蹤系統的機密資訊

AppCensus的共同創辦人、專門分析行動程式的Joel Reardon，本周披露了Google／蘋果曝露通知（Google/Apple Exposure Notification，GAEN）系統的實作缺陷，指出儘管不論Google或蘋果都宣稱GAEN系統得以保障使用者的隱私，但Google將GAEN所蒐集的資訊存放在系統紀錄中，又允許Android手機的預裝程式存取系統紀錄，而導致使用者的隱私曝光。此外，Reardon其實在今年的2月19日便已通報Google，但Google並不同意這是個漏洞，也拒絕提供抓漏獎金，使得Reardon選擇公開此一缺陷。

iPhone與Android手機所支援的GAEN系統，是透過藍牙於背景不斷接收與儲存來自鄰近裝置的滾動式接觸指標（Rolling Proximity Identifier，RPI），此一RPI不但是隨機的，而且每個裝置的RPI每15分鐘就會變更一次，當衛生機關得知某人確診COVID-19時，就會透過相關的程式，將該名使用者的RPIs傳送給其它使用者，程式就可比對該手機上所存放的RPIs，以判斷是否曾與確診病患近距離接觸，進而提出警告或指南。

Google與蘋果僅授權衛生機關使用GAEN系統，且強調所有的資料都只存放在使用者的手機上，不管是蘋果或Google都無法存取，然而，Reardong指出，由於Google允許裝置製造商、網路營運商或其合作夥伴在Android手機上預裝程式，且讓這些程式擁有某些特權，像是存取系統紀錄等，使得這些預裝的第三方程式也能存取GAEN系統所蒐集與儲存的資料。

例如小米的Redmi Note 9就預裝了77款程式，當中有54款可以讀取系統紀錄，三星的Galaxy A11則預裝131款程式，其中的89款也能讀取系統紀錄。

此外，手機上不只存放了自己的RPIs、其它手機的RPIs，也存放了其它手機的隨機Mac Address，而這些資訊即足以曝露使用者的隱私。

Reardon說，存取這些系統紀錄的實體，將可利用這些RPIs紀錄與衛生機關所公布的確診RPIs，來推斷使用者的健康狀態；且當一個實體同時讀取了許多使用者的RPIs時，也能推測不同使用者之間的關係；此外，雖然不管是RPIs或Mac Address都是隨機的，但Mac Address還有其它的應用，可與地點、廣告ID或Android ID產生連結，若結合RPIs/Mac Address，以及Mac Address/地點/Android ID等兩個資料庫，就會曝露更多的使用者資訊。

雖然這是Google於Android上實作GAEN系統的問題，但它同時也會影響iPhone用戶，因為Android也會蒐集來自iPhone的RPIs與Mac Address。

Reardon表示，他曾與Google辯論是否要公開此一缺陷，最後他選擇公諸如世，因為這樣並不會對使用者帶來更大的風險，還能督促Google修補。