當谷歌和蘋果在2020年4月推出他們的COVID-19聯繫人追踪框架時，這兩家公司讓那些擔心與大公司分享私人健康信息的人放心。

谷歌和蘋果公司保證，通過應用程序產生的數據，包括人們的行動，他們可能接觸過的人，以及他們是否報告COVID-19檢測呈陽性將是匿名的，並且永遠不會與公共衛生機構以外的任何人分享。

谷歌首席執行官桑達爾-皮查伊(Sundar Pichai)在去年5月該框架公開發佈時表示，我們的目標是為公共衛生機構提供另一種工具，幫助打擊病毒，同時保護用戶隱私。蘋果公司首席執行官蒂姆-庫克也作出了類似的保證。

從那時起，數以百萬計的人下載了通過蘋果和谷歌框架開發的聯繫人追踪應用程序。英國國家衛生服務機構的應用程序至少有1600萬用戶，而加拿大數字服務機構的COVID警報應用程序在1月份擁有超過600萬的下載量，弗吉尼亞州衛生部指出有超過200萬居民正在使用其COVIDWISE應用程序。

加利福尼亞州州長加文-紐森(Gavin Newsom)在去年12月的一條推特上認可了該州的應用程序版本，稱其為”100%的隱私和安全”。但The Markup了解到，不僅安卓版的聯繫人追踪工具包含一個隱私缺陷，而且當隱私分析公司AppCensus的研究人員在今年2月提醒谷歌注意這個問題時，谷歌卻沒有進行修補。AppCensus正在測試該系統，作為與美國國土安全部簽訂的合同的一部分。該公司在iPhone版本的框架中沒有發現類似問題。

AppCensus安全研究人員表示，這個修復是一個單行的東西，你刪除了一個將敏感信息記錄到系統日誌中的行。它不影響程序，不改變它的工作方式，這是一個如此簡單的修復，而我感到驚訝的是，谷歌居然沒有進行修復。

谷歌發言人José Castañeda在給The Markup的一份電子郵件聲明中說：”我們被告知一個問題，即藍牙標識符被特定的系統級應用程序暫時訪問。我們立即開始推出一個修復方案來解決這個問題。“ 然而，AppCensus的聯合創始人兼首席技術官Serge Egelman說，谷歌曾多次駁回該公司對該漏洞的擔憂，直到The Markup在上週末聯繫谷歌對該問題進行評論。

當被問及該漏洞是否已被消除時，谷歌幾週前開始向安卓設備推出這一更新，並將在未來幾天內完成。安全人員表示，安卓設備上的數百個預裝應用程序，如三星瀏覽器和摩托羅拉的MotoCare，可以訪問聯繫人追踪應用程序存儲在系統日誌中的潛在敏感信息，這是預裝應用程序如何接收用戶分析和崩潰報告信息的副產品。

聯繫人追踪工具通過與其他擁有聯繫人追踪應用程序的手機交換匿名的藍牙信號來工作。這些信號每15分鐘改變一次，以增加識別某人的難度，並且是由一個每24小時改變一次的密鑰創建的。手機的聯繫人追踪數據產生和接收的信號被保存到安卓設備的系統日誌中。研究發現，三星、摩托羅拉、華為和其他公司製造的手機上有超過400個預裝的應用程序有權限讀取系統日誌，用於崩潰報告和分析目的。

在接觸追踪應用程序的情況下，研究人員發現系統日誌包括一個人是否與COVID-19檢測呈陽性的人接觸的數據，並可能包含識別信息，如設備的名稱、MAC地址和其他應用程序的廣告ID。從理論上講，這些信息可能被預裝的應用程序捕獲，並被送回他們公司的服務器。他還沒有發現任何應用程序實際收集了這些數據，但沒有任何東西可以阻止它們這樣做。