Skip to main content
QUICK REVIEW

[논문 리뷰] An Empirical Assessment of Global COVID-19 Contact Tracing Applications

Ruoxi Sun, Wei Wang|arXiv (Cornell University)|2020. 06. 19.
COVID-19 Digital Contact Tracing참고 문헌 47인용 수 19
한 줄 요약

이 논문은 정적 분석, 데이터 흐름 추적, 자연어 처리 기반 PII 탐지 기법을 융합한 자동화된 도구인 COVIDGuardian을 소개한다. 이 도구는 전 세계 40개의 코로나19 밀접접촉자 추적 앱의 보안 및 개인정보 위험을 평가한다. 분석 결과, 50퍼센트 이상의 앱이 암호화 기법과 암호화되지 않은 데이터 저장 방식에서 심각한 보안 결함을 보였으며, 사용자 연구 결과는 중심화된 모델이나 PII 수집 모델보다 분산형, 개인정보 보호 중심 설계를 선호하는 경향을 보였다.

ABSTRACT

The rapid spread of COVID-19 has made manual contact tracing difficult. Thus, various public health authorities have experimented with automatic contact tracing using mobile applications (or "apps"). These apps, however, have raised security and privacy concerns. In this paper, we propose an automated security and privacy assessment tool, COVIDGUARDIAN, which combines identification and analysis of Personal Identification Information (PII), static program analysis and data flow analysis, to determine security and privacy weaknesses. Furthermore, in light of our findings, we undertake a user study to investigate concerns regarding contact tracing apps. We hope that COVIDGUARDIAN, and the issues raised through responsible disclosure to vendors, can contribute to the safe deployment of mobile contact tracing. As part of this, we offer concrete guidelines, and highlight gaps between user requirements and app performance.

연구 동기 및 목표

  • 팬데믹 기간 동안 대규모로 배포된 밀접접촉자 추적 앱에서 개인정보 및 보안에 대한 우려가 증가하는 데 대응하기 위해.
  • 보안 취약점과 PII 泄露를 탐지하기 위한 자동화되고 확장 가능한 방법을 개발하기 위해.
  • 사용자 기대와 실제 앱 성능 간의 개인정보 및 정확성 측면에서의 격차를 평가하기 위해.
  • 개발자와 정책 입안자들이 앱 보안을 향상시키고 사용자 신뢰를 구축하기 위해 실천 가능한 지침을 제공하기 위해.

제안 방법

  • COVIDGuardian는 안드로이드 앱 바이너리 내의 민감한 데이터 처리 패턴을 식별하기 위해 정적 프로그램 분석 및 데이터 흐름 추적을 사용한다.
  • 자연어 처리 기반 키워드 기반 PII 탐지 엔진을 통합하여 코드 및 리소스 내의 개인을 특정할 수 있는 정보를 경고한다.
  • 비밀번호 알고리즘의 사용 여부를 분석하여 불안정하거나 폐기된 알고리즘을 탐지한다.
  • 백업 권한이 불필요하게 허용된 경우와 같은 보안 취약점을 확인하기 위해 매니페스트 설정을 평가한다.
  • 373명의 참가자가 참여한 사용자 연구를 통해 개인정보, 정확성 및 다양한 앱 설계 모델의 도입 가능성에 대한 인식을 평가한다.
  • Mann-Whitney U 검정을 사용한 통계 분석을 통해 개인정보 및 데이터 수집 모델에 따라 사용자가 다양한 앱 유형을 도입할 가능성에 차이가 있는지 비교한다.

실험 결과

연구 질문

  • RQ1RQ1: COVIDGuardian의 성능은 기존의 실무 기반 모바일 앱 평가 도구와 비교해 어떻게 되는가?
  • RQ2RQ2: 전 세계 40개의 밀접접촉자 추적 앱의 보안 및 개인정보 상태는 어떠한가?
  • RQ3RQ3: 이러한 앱은 알려진된 보안 및 개인정보 위협에 얼마나 견고한가?
  • RQ4RQ4: 사용자들은 밀접접촉자 추적 앱에 대해 어떤 우려와 요구사항을 가지고 있는가?

주요 결과

  • 평가 대상 40개의 밀접접촉자 추적 앱 중 72.5퍼센트 이상이 보안에 취약하거나 최선의 실천 방침과 맞지 않는 암호 알고리즘을 사용하고 있다.
  • 55.0퍼센트의 앱이 민감한 정보를 암호화하지 않은 상태로 저장하여 잠재적 공격자에게 노출 위험이 높아지고 있다.
  • 40퍼센트 이상의 앱이 매니페스트 수준의 보안 취약성을 가지고 있으며, 예를 들어 암호화되지 않은 상태에서 앱 데이터를 백업할 수 있도록 설정되어 있다.
  • 사용자 중 31퍼센트만 중심화된 모델에서 비PII 데이터를 수집하고 공유하는 앱을 사용할 의향이 있었으며, 반면 50퍼센트는 PII 수집이 없는 분산형 앱을 사용할 의향이 있었다.
  • 개인정보 보호 중심의 분산형 앱(유형 D)을 사용할 가능성은 PII 수집 모델보다 유의미하게 높았으며(p < 0.0001), 이는 사용자들이 개인정보 보호를 선호함을 시사한다.
  • 정확성에 대한 우려에도 불구하고, 사용자는 완전히 비밀스러운 앱을 도입할 가능성이 완전히 정확한 앱보다 1.5배 이상 높아, 개인정보 보호가 도입을 이끄는 더 강력한 동력임을 보여준다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.