Skip to main content
QUICK REVIEW

[论文解读] An Empirical Assessment of Global COVID-19 Contact Tracing Applications

Ruoxi Sun, Wei Wang|arXiv (Cornell University)|Jun 19, 2020
COVID-19 Digital Contact Tracing参考文献 47被引用 19
一句话总结

本文介绍了COVIDGuardian,一种自动化工具,结合静态分析、数据流追踪和基于自然语言处理的PII检测技术,用于评估40款全球范围内的COVID-19接触追踪应用程序在安全性和隐私方面的风险。研究发现,超过50%的应用存在严重安全缺陷——尤其体现在密码学实践和未加密数据存储方面;用户研究显示,用户对去中心化、保护隐私的设计方案偏好明显高于集中式或收集PII的模型。

ABSTRACT

The rapid spread of COVID-19 has made manual contact tracing difficult. Thus, various public health authorities have experimented with automatic contact tracing using mobile applications (or "apps"). These apps, however, have raised security and privacy concerns. In this paper, we propose an automated security and privacy assessment tool, COVIDGUARDIAN, which combines identification and analysis of Personal Identification Information (PII), static program analysis and data flow analysis, to determine security and privacy weaknesses. Furthermore, in light of our findings, we undertake a user study to investigate concerns regarding contact tracing apps. We hope that COVIDGUARDIAN, and the issues raised through responsible disclosure to vendors, can contribute to the safe deployment of mobile contact tracing. As part of this, we offer concrete guidelines, and highlight gaps between user requirements and app performance.

研究动机与目标

  • 为应对疫情期间大规模部署的接触追踪应用日益增长的隐私与安全担忧。
  • 开发一种自动化、可扩展的方法,用于检测接触追踪应用程序中的安全漏洞和PII泄露问题。
  • 评估用户期望与实际应用在隐私和准确性方面的表现之间的差距。
  • 为开发者和政策制定者提供可操作的指导,以提升应用安全性与用户信任度。

提出的方法

  • COVIDGuardian使用静态程序分析和数据流追踪技术,识别Android应用二进制文件中敏感数据处理模式。
  • 集成基于关键词的PII检测引擎,利用自然语言处理技术,标记代码和资源中的个人身份信息。
  • 执行密码学分析,检测不安全或已弃用算法的使用情况。
  • 评估清单配置中的安全弱点,例如不必要的备份权限。
  • 通过373名参与者的用户研究,评估用户对隐私、准确性和不同应用设计采纳意愿的看法。
  • 采用统计分析(Mann-Whitney U检验)比较用户对不同隐私和数据收集模式的应用类型的采纳可能性。

实验结果

研究问题

  • RQ1RQ1: COVIDGuardian与现有主流移动应用评估工具相比,性能如何?
  • RQ2RQ2: 40款全球接触追踪应用的安全与隐私状况如何?
  • RQ3RQ3: 这些应用对已知安全与隐私威胁的抵御能力有多强?
  • RQ4RQ4: 用户对接触追踪应用的关注点和需求是什么?

主要发现

  • 在评估的40款接触追踪应用中,超过72.5%使用了不安全或不符合最佳实践的密码学算法。
  • 55.0%的应用以明文形式存储敏感信息,增加了潜在攻击者入侵的风险。
  • 超过40%的应用在清单级别存在安全弱点,例如在未加密的情况下启用应用数据备份。
  • 仅31%的用户愿意使用在集中式模型下收集并共享非PII数据的应用,而50%的用户愿意使用不收集PII的去中心化应用。
  • 使用保护隐私的去中心化应用(D型)的可能性显著高于收集PII的应用模型(p < 0.0001),表明用户对隐私保护有强烈偏好。
  • 尽管对准确性存在担忧,用户采纳完全私密应用的可能性仍超过采纳完全准确应用的1.5倍,凸显隐私是推动应用采纳的更强驱动力。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。