自周日发布以来,到本周二早间,超过两百万澳大利亚人已下载了这一应用程序。
这是政府鼓励公众安装的一款用于快速识别与确诊病例接触者的应用程序。
它通过蓝牙技术来实现这一点,以记录两名用户在彼此距离不足1.5米且持续至少15分钟情况下的接触。如果其中一名用户被确诊感染COVID-19,则他们可以与卫生部门共享最近的接触史。
READ MORE
澳大利亚政府力推的COVIDSafe是如何追踪接触者的?
卫生专家说,如果有足够多的澳大利亚人下载该应用程序,它将对遏制冠状病毒传播产生巨大影响。同时,技术和隐私专家对应用程序将收集的数据提出了担忧。
软件开发人员对COVIDSafe进行了逆向工程后的发现
在COVIDSafe发布前,技术和隐私专家呼吁澳大利亚政府发布完整的源代码,这能帮助独立的专家发现问题,提供解决方案并确认该应用程序能按照政府所承诺的那样运行。
尽管联邦卫生部长格雷格·亨特(Greg Hunt)周一告诉ABC,源代码将在两周内发布,但目前尚未发布。
而在等待源代码的同时,澳大利亚的软件开发人员在社交媒体上分享了他们进行逆向工程后的发现。
上周日,软件开发人员Matthew Robbins成功下载并反编译了Android版应用程序的源代码。
Robbins从事技术工作已约十年,在过去八年中一直专注于应用程序开发。他不是隐私方面的专家,但他非常了解如何构建应用程序以及如何确定该应用程序是否遵照了政府的要求。
目前这些发现中的很多结论是非常积极的,Robbins在推特上确认该应用程序正常运行,能将数据安全地存储在用户手机上,仅记录来自同样安装了该应用程序的其他手机的信息,在21天后会自动删除所有记录,且仅在用户允许的情况下才会将数据上传给卫生部门。
该应用程序也不会记录用户的位置(如果您是Android用户,会在安装该应用程序时收到提醒,要求访问位置数据——这是Android的一个缺陷——当您要求访问像这样的应用程序所需的蓝牙权限时,它会自动请求位置权限。但COVIDSafe不会记录或使用位置数据。)
Robbins告诉The Feed,他出于好奇在业余时间反编译了该应用程序,但他说自己对所目睹的感到满意。
他表示:“由于缺乏更好的表述,他们收集的数据是相对良性的” ,“我对应用程序的构建方式非常有信心。”
在他看来有一些小错误,但他认为这是因政府希望尽快推出这一应用程序所致。
尽管他仍然希望政府能发布完整的源代码,包括iOS应用程序比Android版本更难进行逆向工程,但总的来说,他没有发现任何重大的问题。
他说:“我认为这绝对值得安装。”
其他许多经验丰富的软件开发人员也已审查了代码,并鼓励澳大利亚人安装该应用程序。
该应用程序截至目前有哪些问题?
COVIDSafe应用程序已被发现了一些潜在问题。
应用程序必须保持打开并处于运行状态才能工作——你可以在你的手机上使用其他应用程序,但在你外出时COVIDSafe需要在后台保持打开状态。
一些专家担心,在某些情况下,iPhone上安装的COVIDSafe实际上可能会停止运行。当iPhone进入低功耗模式时或太多不同的应用程序使用蓝牙时,COVIDSafe可能会停止工作。
政府迄今为止提供的建议有时也自相矛盾。政府的COVIDSafe网站建议iOS用户,如果他们的应用程序超过24小时未运行,他们将收到一个通知,告诉他们如何排除故障。
现在还很难说这款应用程序是否会耗尽你的手机电池;专家们意见不一,我们将在未来几天看到结果。
这些问题不会对应用程序用户造成安全问题,但如果不解决这些问题,可能会影响应用程序的有效性。专家们再次呼吁发布iOS源代码,这样他们就可以研究性能问题,并在可能的情况下提出修复建议。
安全专家是否仍对COVIDSafe感到担忧?
答案是确认无疑的。但至于这些安全问题是否会阻止您安装该应用程序,专家表示,这实际上取决于您个人情况。
上周,在发布该应用之前,The Feed节目与隐私专家Dali Kaafar教授进行了对话,他是Optus Macquarie University Cyber Security Hub的执行董事。
Dali Kaafar教授和其他专家提出的一个关键问题是,该应用程序收集的数据将被上传到中央服务器。正如Kaafar教授对The Feed所说的那样,只要能够访问此类应用程序的中央服务器的人都可以访问大量信息。如果该服务器被黑客入侵或被怀有恶意的人访问,则他们可以使用这些信息做很多事情。
澳大利亚国立大学的Vanessa Teague副教授等其他隐私专家也指出了对该应用程序记录和共享的其他信息的担忧。例如,这款澳大利亚的应用程序以纯文本的形式存储所接触的不同手机和设备的品牌和型号,这对任何能使用手机并精通技术的人来说都是可读的。
Vanessa Teague副教授及其同事在周一的博文中写道:“虽然这看起来没什么大不了的,但接触者的确切手机型号可能会透露非常多的信息。”
“例如,假设一个人希望了解另一个人是否访问过某个特定的共同熟人,而这个人的手机是他们可以访问的。控制者可以阅读COVIDSafe的(纯文本)日志,并检测手机型号是否符合他们的假设。”
他还担心政府部门可能收到比用户所意识得到的更多的信息。正如他解释的那样,如果A确诊并同意上传接触史,可能会透露最近与B和C在一起,政府便由此知道B和C见了面,但是这两个人都不知道这一信息已被共享。
但他也说,这是个别情况。
“这些信息对很多人来说可能并不是很敏感,但对其他人来说可能真的很重要。例如,来自两个不同政党的两名政客正在开会,或者一名记者和一名政客在开会。”
Kaafar教授说,通过对应用程序进行较小的更改就能解决诸如此类的隐私问题。一个国际专家联盟也指出,可以创建一个根本不向中央机构上传信息的追踪应用程序。
Kaafar教授告诉The Feed,在做出这些更改之前,他本人不会安装该应用程序,但他不确定是否要建议其他澳大利亚人怎么做。
“我认为重要的是隐私是非常个人化的。某些托管信息对于某些人可能真的很敏感,而对于其他人则可能是完全不相关的。”
我应该安装COVIDSafe吗?
这个应用程序被推出是有原因的:我们正处于疫情之中。如果我们想再次放开社会活动,那么迅速识别可能接触过确诊病人的人是至关重要的。
足够多的澳大利亚人下载并正确使用了该应用程序,才能起到帮助。政府表示至少需要40%甚至更多的澳大利亚人使用,即意味着有近1000万澳大利亚人注册才能有效。
正如Kaafar教授所强调的,您是否使用该程序可能取决于隐私对您个人的意义,这是一个私人的选择。
“在这种辩论中,最让我感到沮丧的是,把它当作‘帮助他人’和‘保护隐私’之间的两难境地,”他说,“把关心隐私的人定位为自私的人,而其他人就是好的,这是非常糟糕的。”
新南威尔士大学的Allens Hub for Technology, Law and Innovation的数据保护和监察部门的主管David Vaile说:“原则上,对于这样可能会创建一个集中化的社交图信息存储库、依赖法律和技术上的修正来保护的东西,你会建议谨慎行事”,“然而,对公共卫生的关注也很重要。这就是为何如此困难的原因。”
如果您最终决定现在不使用COVIDSafe,请记住,随着应用程序的更新和改进,可能会发生很多变化。我们会及时向您更新最新的变化。
READ MORE
澳洲COVID-19新冠疫情和疫苗:我们必须了解的信息
澳大利亚人必须与他人保持至少1.5米的社交距离,聚会最多两人参与,除非您是与家人或同住者在一起;
如果您自认为已感染了这种病毒,请致电您的医生,请勿直接前去就医;或者您可致电全国冠状病毒健康信息热线1800 020 080。
如果您呼吸困难或遇到紧急医疗事故,请致电000。
