大学の接触追跡アプリが個人データを容易に漏洩していたことが報告書で判明

ミシガン州のある大学は、COVID-19の潜在的な感染拡大を抑制するため、全学生に常に学生の位置情報を追跡できるアプリのインストールを義務付けています。しかしながら、研究者らはすでにこのアプリに、学生の個人情報と健康データが漏洩する可能性のある2つの重大な脆弱性を発見しています。

アルビオン大学は秋学期が始まる2週間前に学生に対し、Auraと呼ばれる接触追跡アプリをインストールして実行する必要があると通知した。

各州が導入している接触通知アプリは、AppleとGoogleが今年初めに発表したiOSとAndroidのフレームワークに基づいており、プライバシーへの悪影響を最小限に抑えるように設計されています。このフレームワークは基本的に、スマートフォンのBluetooth機能を近接センサーとして利用し、インストールされているスマートフォンがCOVID-19の検査で陽性と報告された人のスマートフォンの近くにあったかどうかを検知します。

しかし、TechCrunchの報道によると、Auraはリアルタイムの位置追跡に特化している。アプリは学生の名前、位置情報、COVID-19の感染状況を収集し、その情報を含むQRコードを生成する。データから学生が陰性であることが判明した場合は「認証済み」、陽性または検査データがない場合には「不合格」と表示される。学生のCOVID-19感染状況を追跡するだけでなく、学生が「許可なく」キャンパスを離れたことを検知すると、学生のIDカードをロックし、キャンパスの建物への立ち入りを禁止する。

TechCrunch はネットワーク分析ツールを使用して、コードがデバイス上で生成されたのではなく、隠された Aura Web サイトで生成されたことを発見しました。また、TechCrunch は URL 内のアカウント番号を簡単に変更して他のアカウントの新しい QR コードを生成し、他の個人の個人データにアクセスできることも発見しました。

アルビオン大学の学生がアプリのソースコードを調べたところ、アプリのバックエンドサーバーにハードコードされたセキュリティキーも発見されました。TechCrunchの報道によると、研究者が調査した結果、これらのキーによって「COVID-19の検査結果（氏名、住所、生年月日を含む）」を含む患者データへのアクセスが可能であることが確認されました。

Auraの開発元であるNucleus Careersは、研究者とTechCrunchからの連絡を受け、両方の脆弱性を修正しました。しかし、学生と保護者は依然として乗り気ではありません。「何よりも不気味で、学校に戻るのが不安です」と、アルビオン高校のある学生はサイトに語りました。

キャンパスの複雑さ

全国の大学は、2020年秋学期の運営方法を必死に模索しています。多くの大学は今秋、オンライン授業のみを提供しています。今月は通常通り開校しようと試みたものの、学生の間で新型コロナウイルスのクラスターが発生したため、計画を急遽断念し、遠隔授業に切り替えざるを得なかった大学もあります。他の大学は、学生がより安全に授業に戻れるよう、その中間的な方法を慎重に模索しています。

同じくミシガン州にあるオークランド大学は、ウェアラブル健康追跡技術「バイオボタン」を導入し、キャンパス内のCOVID-19の症状や感染拡大の可能性を追跡する計画です。当初、大学はキャンパス内に住む全学生にバイオボタンの使用を義務付ける予定でしたが、学生からの嘆願を受けて大学当局はこれを撤回しました。

大学のキャンパスは、様々なCOVID-19接触者追跡対策の理想的な実験場です。学校は、保健当局が一般の学生にはできない方法で、学生にアプリのダウンロードとインストールを義務付けることができます。しかし、ポリティコが指摘しているように、特に未成年飲酒の疑いのある接触者を開示する場合、学生の参加と遵守は必ずしも完全かつ熱心とは言えない可能性があります。

リスト画像：トーマス・ウィンズ/ゲッティ

51件のコメント