新型コロナウイルス感染症(Covid-19)に対する政府の追跡アプリケーションであるTousAntiCovidは、ユーザーのプライバシーを危険にさらしていると非難されている。コンピュータセキュリティ研究者3名によると、6月にユーザーの同意なしに開始された統計収集システムは、フランス人のプライバシーと匿名性に対して一連の問題を引き起こしているという。
昨年の6月、TousAntiCovidは、新しい統計収集システムで自身を更新しました。このシステムは、匿名データを取得することでアプリケーションの有効性を評価することを目的としています。研究者チームによると、「統計の収集はデータ最小化の原則に反し、セキュリティとプライバシー保護の性質を危険にさらします。」。
実際、導入されたシステムは特に次のようなものであることが判明しました。個人データに貪欲な。「統計には非常に詳細なイベント ログが含まれており、ユーザーが行ったほとんどのアクションが正確なタイムスタンプとともに記録されます。」、アプリケーションコードを分析した後、専門家は後悔しています。このデータは 12 時間ごとに収集されます。
こちらもお読みください:バグにより、TousAntiCovid にインポートするヘルスパスを取得できません
で得られたデータを組み合わせることで、さまざまなプロトコルが実装されている、つまり ROBERT と Cléa を使用すると、ユーザーの習慣のポートレートを描くことができます。「アリスとボブが 1 週間ずっと一緒にランチを食べていた場合、彼らのログにはほぼ同期したイベントが含まれており、サーバーは彼らのデータ間の相関関係を確認できます。」と、調査の背後にある研究者の一人、ガエタン・ローラン氏が自身のツイッターアカウントで説明している。
最終的に、データは理論的には「ソーシャルグラフ」ユーザー間のソーシャルインタラクション。具体的には以下のことが可能ですTousAntiCovidユーザーが飲みに行ったと判断する、またはレストランで食事をするか、別の人と。収集された他のデータを相互参照することにより、ユーザーの身元はすぐに危険にさらされます。
このセキュリティ上の欠陥は、相互に通信することを想定していない異なるセキュリティ プロトコルの使用の結果です。「Bluetooth 追跡データはアプリケーション統計と関連付けることができます」と研究者らが作成した報告書は指摘している。侵害はさらに拡大しましたヘルスパスを保存および表示できる機能。実はパスというのは、「指名的」と報告書を思い出す。
「これらの問題は、TousAntiCovid アプリケーションの設計上の選択、特に独立している必要がある異なるシステムを同じアプリケーションに配置するという選択に直接関係しています。」、レポートの結論を推定します。するためにデータ漏洩のリスクを阻止する、研究者らは特にタイムスタンプ情報の精度を下げるようアドバイスしている。