隱私分析公司AppCensus週二披露，谷歌和蘋果的COVID-19暴露通知應用程序的Android版本有一個隱私缺陷，讓其他預裝應用程序有可能看到敏感數據，包括某人是否曾與COVID-19檢測呈陽性的人接觸過。谷歌接到消息後回應稱正在準備對該漏洞的修復。

這個漏洞違背了谷歌首席執行官桑達爾-皮查伊、蘋果首席執行官蒂姆·庫克和許多公共衛生官員的多次承諾，即暴露通知程序收集的數據不能在個人設備之外共享。

據The Markup報導，AppCensus在2月份首次向谷歌報告了這個漏洞，但該公司未能解決這個問題。AppCensus的聯合創始人兼取證負責人Joel Reardon告訴The Markup，修復這個問題就像刪除幾行非必要的代碼一樣簡單。”Reardon說：”明明有很簡單的修復方法，我很驚訝他們沒有這麼做。”

谷歌發言人José Castañeda在給The Markup的一份電子郵件聲明中說：”我們被告知一個問題，即藍牙標識符暫時可以被特定的系統級應用程序用於調試目的，我們立即開始推出一個解決方案來解決這個問題。”

曝光通知系統的工作原理是在用戶的手機和其他激活了該系統的手機之間ping出匿名的藍牙信號。然後，如果有人使用該應用程序對COVID-19檢測呈陽性，他們可以與衛生部門合作，向任何有相應信號記錄在手機內存中的手機發送警報。

在Android手機上，追踪數據被記錄在特權系統內存中，手機上運行的大多數軟件都無法訪問。但是，製造商預裝的應用程序有特殊的系統權限，可以讓它們訪問這些日誌，從而使敏感的聯繫人追踪數據處於危險之中。但是，目前沒有跡象表明任何應用程序實際收集了這些數據。

預裝的應用程序以前曾利用過它們的特殊權限，有調查顯示，它們有時會收集地理位置信息和手機聯繫人等數據，但該分析報告沒有發現iPhone上的曝光通知系統有任何類似的問題。

AppCensus的首席技術官Serge Egelman在Twitter上發表的一份聲明中說，這個問題是一個實施上的問題，而不是曝光通知框架所固有的bug，但它不應該削弱對公共衛生技術的信任。我們希望帶來的教訓是，正確處理隱私問題真的很難，系統中的漏洞總是會被發現，但共同努力補救這些問題符合所有人的利益。”