Skip to main content
QUICK REVIEW

[论文解读] Mind the GAP: Security & Privacy Risks of Contact Tracing Apps

Lars Baumgärtner, Alexandra Dmitrienko|arXiv (Cornell University)|Jun 10, 2020
COVID-19 Digital Contact Tracing参考文献 14被引用 37
一句话总结

本文展示了谷歌/苹果暴露通知(GAP)API——被德国的Corona-Warn-App等主要接触追踪应用所采用——在现实世界中存在两种攻击向量:对感染者进行画像分析与去匿名化,以及通过中继的虫洞攻击,可生成虚假的近距离接触事件。作者通过移动设备和树莓派实现了并验证了这些攻击,表明攻击者可通过重复广播伪造的近距离标识符,触发虚假的高风险警告。

ABSTRACT

Google and Apple have jointly provided an API for exposure notification in order to implement decentralized contract tracing apps using Bluetooth Low Energy, the so-called "Google/Apple Proposal", which we abbreviate by "GAP". We demonstrate that in real-world scenarios the current GAP design is vulnerable to (i) profiling and possibly de-anonymizing infected persons, and (ii) relay-based wormhole attacks that basically can generate fake contacts with the potential of affecting the accuracy of an app-based contact tracing system. For both types of attack, we have built tools that can easily be used on mobile phones or Raspberry Pis (e.g., Bluetooth sniffers). The goal of our work is to perform a reality check towards possibly providing empirical real-world evidence for these two privacy and security risks. We hope that our findings provide valuable input for developing secure and privacy-preserving digital contact tracing systems.

研究动机与目标

  • 评估谷歌/苹果暴露通知(GAP)API在去中心化接触追踪中隐私与安全风险的实际可行性。
  • 通过实证验证关于GAP系统中感染者画像分析与去匿名化的理论担忧。
  • 证明基于中继的虫洞攻击在生成虚假近距离接触事件并触发虚假高风险警告方面的实际可行性。
  • 为改进基于GAP的接触追踪应用的安全性与隐私性提供可操作的见解。
  • 评估攻击向量对德国Corona-Warn-App等广泛部署应用的影响。

提出的方法

  • 作者使用手机和树莓派实现了一款基于蓝牙的虫洞设备,用于中继并重新广播暴露通知标识符(RPIs)。
  • 他们在高感染率场所(如德国法兰克福的一处新冠检测中心)开展了现实世界实验,以测量感染者频率与RPI暴露情况。
  • 通过远距离重新广播感染者用户的RPI,模拟中继攻击,以虫洞方式制造虚假的近距离接触事件。
  • 分析德国Corona-Warn-App在遭受攻击时的行为,测量RPI接收频率及触发高风险警告的条件。
  • 本研究使用来自真实检测中心的实证数据,估算在不同感染流行率与应用普及率下的攻击成功率。
  • 评估RPI有效期(120分钟)与TEK(临时暴露密钥)有效期(24小时)对攻击持续时间与检测的影响。

实验结果

研究问题

  • RQ1现实世界中的攻击者是否可利用GAP API的暴露通知机制,对感染者进行画像分析并可能实现去匿名化?
  • RQ2基于中继的虫洞攻击是否能生成足够多的虚假近距离接触事件,从而在基于GAP的接触追踪应用中触发虚假的高风险警告?
  • RQ3使用手机和树莓派等低成本硬件,这些攻击在实际中可行且可扩展吗?
  • RQ4不同感染率与用户上报行为如何影响这些攻击在现实环境中的成功率?
  • RQ5当前RPI与TEK有效期对攻击持续时间与影响有何影响?

主要发现

  • 在墨西哥(41%检测阳性率)这类高感染率环境中,攻击者每小时可观察到多达123名感染者,其中约12.10人上传其感染状态,从而每5分钟可产生一次有效的RPI。
  • 由于RPI有效期为120分钟,攻击者可在原始感染者离开区域后长时间重放信号,持续维持虚假的近距离接触假象。
  • 单个虫洞设备每小时可向约825部移动设备广播RPI,使得在白天14天内可提交高达306,600个RPI。
  • 德国Corona-Warn-App易受此类攻击影响,因为单个虫洞设备可使在中继RPI范围内停留超过10分钟的用户触发高风险警告。
  • 研究证实,当前120分钟的RPI与24小时的TEK有效期显著扩大了攻击面,并延长了虚假接触事件的持续时间。
  • 研究结果表明,缩短RPI与TEK的有效期可减轻攻击影响,但可能带来系统效率与电池消耗之间的权衡。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。