示意圖,Photo by Albion college on https://twitter.com/albioncollege/status/1294728087226200064/photo/3

美國各級學校開學、復學在即,Techcrunch報導,為了確保學生做過COVID-19檢測,以及提供接觸追蹤,一所大學強迫學生安裝一款稍早還爆發漏洞的App,而且擅自關閉定位追蹤者可能遭到處份。

美國當地大專院校即將在疫情方熾中開啟新學期,讓校方繃緊神經,採取多項防範措施。例如密西根州的Albion學院規畫的新學期,會在8月24日開始,於11月感恩節,而非傳統上的聖誕節前夕結束。但該校也要求師生開學當天接受COVID-19抗體檢測,並安裝名為Aura的App。

這款App具備接觸追蹤、檢測排程、以及出入准許功能,並產生QR code作為出入驗證。學生接受過檢測後,資料就會餵進App及通知校方。未來學生出入某個場合時,檢測為陰性的學生掃瞄QR code會顯示「通過驗證」(certified),但檢測結果為陽性或尚未檢測的學生在掃瞄QR code時,即會出現「不得進入」(denied)。

此外,若檢測陰性的學生和檢測陽性的學生有過一段時間的近距離接觸後,Aura就會發出警告。但是報導指出,Aura使用的技術,和蘋果、Google提供的曝險通知(exposure notification)不同,它會經常存取學生即時位置,校方聲稱這是接觸追蹤的必須。

根據媒體拿到的郵件顯示,利用定位功能,校方企圖監控學生行動。例如校方要求學生不得在未經許可情況下離開校區,以免在外感染回校傳染給師生。若擅自離校這款App會通知校方,該生學生證即被鎖卡而不得進入校園大樓。

學校還警告若是學生違規關閉定位功能,可能遭到停學或是開除的處分。

此外,報導還指出,這款App還存在可能導致資訊外洩的漏洞。這項漏洞出現在產生QR code的方式。Techcrunch分析發現,產生學生QR code的Aura網址包含Aura用戶帳號,因此增減帳號即可產生不同人的QR code。只要掃瞄這些QR code即可得知學生的全名、COVID-19檢測結果,以及出入驗證的日期等資訊。報導推測可能有1.5萬名學生資訊可因此外洩。

在媒體通知後,開發該App的廠商已修補漏洞。不過學生家長仍然質疑,密西根州已經有接觸追蹤App,這款App根本是畫蛇添足。

熱門新聞

Advertisement