美大學強迫學生安裝COVID-19檢測及定位App

美國各級學校開學、復學在即，Techcrunch報導，為了確保學生做過COVID-19檢測，以及提供接觸追蹤，一所大學強迫學生安裝一款稍早還爆發漏洞的App，而且擅自關閉定位追蹤者可能遭到處份。

美國當地大專院校即將在疫情方熾中開啟新學期，讓校方繃緊神經，採取多項防範措施。例如密西根州的Albion學院規畫的新學期，會在8月24日開始，於11月感恩節，而非傳統上的聖誕節前夕結束。但該校也要求師生開學當天接受COVID-19抗體檢測，並安裝名為Aura的App。

這款App具備接觸追蹤、檢測排程、以及出入准許功能，並產生QR code作為出入驗證。學生接受過檢測後，資料就會餵進App及通知校方。未來學生出入某個場合時，檢測為陰性的學生掃瞄QR code會顯示「通過驗證」（certified），但檢測結果為陽性或尚未檢測的學生在掃瞄QR code時，即會出現「不得進入」（denied）。

此外，若檢測陰性的學生和檢測陽性的學生有過一段時間的近距離接觸後，Aura就會發出警告。但是報導指出，Aura使用的技術，和蘋果、Google提供的曝險通知（exposure notification）不同，它會經常存取學生即時位置，校方聲稱這是接觸追蹤的必須。

根據媒體拿到的郵件顯示，利用定位功能，校方企圖監控學生行動。例如校方要求學生不得在未經許可情況下離開校區，以免在外感染回校傳染給師生。若擅自離校這款App會通知校方，該生學生證即被鎖卡而不得進入校園大樓。

學校還警告若是學生違規關閉定位功能，可能遭到停學或是開除的處分。

此外，報導還指出，這款App還存在可能導致資訊外洩的漏洞。這項漏洞出現在產生QR code的方式。Techcrunch分析發現，產生學生QR code的Aura網址包含Aura用戶帳號，因此增減帳號即可產生不同人的QR code。只要掃瞄這些QR code即可得知學生的全名、COVID-19檢測結果，以及出入驗證的日期等資訊。報導推測可能有1.5萬名學生資訊可因此外洩。

在媒體通知後，開發該App的廠商已修補漏洞。不過學生家長仍然質疑，密西根州已經有接觸追蹤App，這款App根本是畫蛇添足。