IOS新冠肺炎应用生态系统成了隐私雷区

2020-11-15 19:35:57

去年春天,当利用智能手机帮助抗击新冠肺炎疫情的想法首次浮出水面时,引发了长达一个月的辩论:应用程序是否应该收集位置数据,这些数据可能有助于追踪联系人,但可能会泄露敏感信息?或者他们应该采取一种更有限的方法,只测量基于蓝牙的手机与其他手机的接近程度?现在,对数以百计的新冠肺炎相关应用的广泛调查显示,答案都是以上所有。这使得新冠肺炎的应用生态系统成为一种狂野、杂乱无章的景观,充满了潜在的隐私陷阱。

上月底,TOW数字新闻中心数字取证倡议主任乔纳森·奥尔布赖特发布了他对数十个国家493个与新冠肺炎相关的iOS应用的分析结果。他对这些应用进行了研究,这些应用处理从症状跟踪到远程健康咨询再到联系人跟踪的各种问题,并对每个应用请求的数据权限进行了分类。在《连线》杂志的要求下,奥尔布赖特进一步细分了数据集,专注于359个应用程序,这些应用程序处理接触者追踪、暴露通知、筛查、报告、工作场所监测和新冠肺炎从全球公共卫生当局获得的信息。

结果显示,在359款应用中,只有47款使用谷歌和苹果更加隐私友好的曝光通知系统,该系统将应用程序限制为只能收集蓝牙数据。全球超过七分之六的以新冠肺炎为核心的iOS应用程序可以自由请求任何他们想要的隐私权限,其中59%的应用程序在使用时要求提供用户的位置,43%的应用程序随时跟踪用户的位置。奥尔布赖特发现,在新冠肺炎的iOS应用中,44%的应用要求访问手机摄像头,22%的应用要求访问用户的麦克风,32%的应用要求访问他们的照片,11%的应用要求访问他们的联系人。

奥尔布赖特说,很难解释为什么很多这样的应用需要你的持续定位、你的麦克风、你的图片库。他警告称,即便是对于大学或政府机构开发的追踪应用(通常是地方层面的)的新冠肺炎来说,这也带来了私人数据(有时与健康信息相关)最终可能脱离用户控制的风险。我们有一群不同的、规模较小的公共实体,它们或多或少都在开发自己的应用程序,有时还会与第三方合作。我们也不知道数据的去向。

奥尔布赖特指出,与新冠肺炎的应用总数相比,使用谷歌和苹果曝光通知API的应用数量相对较少,这不应被视为这两家公司系统的失败。虽然一些公共卫生机构声称,收集位置数据对于追踪接触者是必要的,但苹果和谷歌已经明确表示,他们的协议是为了特定的暴露通知目的--直接提醒用户他们接触了其他新冠肺炎检测呈阳性的用户。这还不包括联系人追踪、症状检查、远程医疗和新冠肺炎提供的其他应用程序提供的信息和新闻。这两家科技公司还限制公共卫生部门进入他们的系统,这在设计上限制了系统的采用。

尽管如此,奥尔布赖特的数据显示,美国许多州、地方政府、工作场所和大学都选择建立自己的系统,用于新冠肺炎的追踪、筛查、报告、暴露警报和隔离监测,部分原因可能是苹果和谷歌的关注范围狭窄和数据限制。奥尔布赖特在美国统计的18款暴露警报应用中,有11款使用谷歌和苹果的蓝牙系统。另外两个基于一个名为Path Check Safeplace的系统,该系统收集GPS信息,但承诺将用户的位置数据匿名。其他一些应用,比如佛罗里达州迈阿密-戴德县和棕榈滩县使用的Citizen Safepass和CombatCOVID应用,则要求在不使用谷歌和苹果隐私限制系统的情况下获取用户的位置和蓝牙邻近信息。(奇怪的是,佛罗里达州的这两款应用请求允许在应用本身跟踪用户的位置,而不是在iOS提示符下。)。

但这18款暴露通知应用只是奥尔布赖特归类为筛选和报告应用的45款应用中的一部分,这些应用的功能范围从联系人追踪、症状记录到风险评估。在这些应用中,24个在使用应用时询问位置,20个在任何时候都询问位置。另有19人要求使用手机的摄像头,10人要求使用麦克风,9人要求使用手机的图片库。一款名为CovidNavigator的症状记录工具莫名其妙地向用户索要苹果音乐数据。奥尔布赖特还检查了另外38款工作场所监控应用程序,这些应用程序旨在帮助保持COV

奥尔布赖特收集了来自应用分析公司41Matters、AppFigures和AppAnnie的数据,并亲自运行这些应用,同时使用代理连接来监控它们的网络通信。奥尔布赖特收集了493个与新冠肺炎相关的应用的调查数据。在某些情况下,他向应用程序开发者寻求有关功能的公开信息。(他说,他把自己的研究局限在iOS上,而不是安卓系统上,因为之前的研究只关注安卓系统,并提出了类似的隐私问题,尽管调查的应用程序要少得多。)。他表示,总体而言,他的调查结果并没有指出任何必然有害的活动,更多的是指一个庞大的新冠肺炎应用市场,在这个市场上,私人数据以出人意料和不透明的方向流动。在许多情况下,用户别无选择,只能使用新冠肺炎的筛查应用,这是他们所在的大学或工作场所实施的,除了他们所在州的卫生部门要求用户采用的任何应用之外,别无选择。

当《连线》联系苹果请其置评时,该公司在一份声明中回应称,它仔细审查了所有与新冠肺炎有关的iOS应用,包括那些没有使用其曝光通知API的应用,以确保它们是由政府机构、卫生非政府组织以及获得健康问题或医疗和教育机构认证的信誉良好的组织开发的,并确保它们在索取数据时没有欺骗性。在iOS 14中,苹果指出,当一款应用程序访问他们的麦克风或摄像头时,屏幕顶部会有一个指示点向用户发出警告,让用户选择与应用程序分享大致的位置,而不是细粒度的位置。

但奥尔布赖特指出,新冠肺炎分析的一些应用超出了直接请求许可的范围,还包括广告分析:虽然奥尔布赖特没有在曝光通知或联系人追踪应用中发现任何以广告为重点的分析工具,但他发现,在他归类为信息和更新的应用中,有三个使用谷歌的广告网络,两个使用脸书受众网络,还有许多其他应用集成了分析工具的软件开发工具包,包括Branch、Adobe Audance、。奥尔布赖特警告说,这些追踪工具中的任何一种都有可能向第三方广告商泄露用户的个人信息,甚至可能包括用户新冠肺炎的身份。(苹果在声明中指出,从今年开始,开发者将被要求提供他们自己的隐私做法以及任何第三方的隐私做法的信息,这些第三方的代码被整合到他们的应用程序中,才能被应用商店接受。)。

隐私研究员、前美国联邦贸易委员会(Federal Trade Commission)首席技术专家阿什坎·索尔塔尼(Ashkan Soltani)表示,考虑到开发新冠肺炎相关应用的热潮,许多人都在积极收集个人数据,在某些情况下还寻求从中获利,这并不令人意外。索尔塔尼说,应用程序领域的游戏名称是收集数据,然后将其货币化。市场上基本上是有机会的,因为市场对这类工具的需求如此之大。人们有新冠肺炎的头脑,因此开发商将填补这一利基市场。

索尔塔尼补充说,谷歌和苹果只允许官方公共卫生部门开发访问其暴露通知API的应用程序,从而建立了一个系统,推动其他开发者开发限制较少、隐私保护较少的新冠肺炎应用程序。索尔塔尼说,在没有咨询公共卫生机构的情况下,我不能开发一个使用谷歌和苹果系统的暴露通知应用。但除了App Store的批准外,我可以随意创建我自己的应用程序,而不需要任何监督。

对数据滥用的担忧也适用于官方渠道。就在最近几周,英国政府表示,它将允许警方获取联系人追踪信息,在某些情况下,还会对不自我隔离的人处以罚款。在公众的强烈反对之后,以色列政府取消了一项与执法部门共享联系人追踪信息的计划,以便将其用于刑事调查。

请求位置数据并集中收集这些数据的应用程序并不一定有阴暗的意图。加州大学旧金山分校(UCSF)传染病专家迈克·里德(Mike Reid)表示,在许多情况下,至少了解感染者的地理位置记录对于有效追踪接触者至关重要。里德也是旧金山接触者追踪工作的负责人。相比之下,谷歌和苹果的系统将用户的隐私放在首位,但不会与医疗机构共享任何数据。里德说,你把责任完全留给了个人,从隐私的角度来看,这是有道理的。但从公共卫生的角度来看,我们将完全依赖于个人病例。

所有这些都有助于解释为什么这么多开发者转向位置数据,即使位置跟踪带来的所有隐私风险也是如此。这样一来,用户就可以自行分析应用请求位置数据对隐私的影响和潜在的健康益处--或者选择一条更简单的方式离开雷区,然后干脆说不就行了。