德国疾控机构罗伯特·科赫研究所(Robert Koch Institute)希望用一个手机应用程序从用户的健身追踪器收集运动和健康数据,以便更好地了解冠状病毒的传播情况。
罗伯特·科赫研究所希望通过这个新的手机应用程序(Corona-Datenspende)从德国人中收集健身和运动数据。 该App支持来自各种健身设备的数据,例如Fitbit,Garmin,Polar,Withings,Google Fit和Apple Health。 数据除邮政编码外,还要求提供有关性别,年龄,身高和体重的信息以及通过相应服务记录的重要数据。如果这些数据是由智能手表或健身手环记录的话,那么数据还包括用户活动信息,脉搏率和体温。
1捐赠你的健康数据
由于急性呼吸道疾病感染者的脉搏频率,睡眠节律和活动水平会发生变化,因此罗伯特·科赫研究所可以从该数据中识别出新冠Covid 19疾病。由于数据是匿名提交,因此RKI不能识别单个数据提交者。根据官方的说法,RKI并不关心识别个别患者,而在于定位局部的新冠病毒感染群。
经过科学的评估后,RKI计划将以此方式获得的数据放在网站corona-datenspende.de的地图上。“如果能够在足够大的样本中记录有症状患者的数量,这将有助于我们更早地得出有关感染发生,传播和先前措施有效性的结论,”该研究所所长Lothar H. Wieler解释说。
这个程序Corona-Datenspende可以在Google Play和Apple Store里免费下载。使用Android和iOS上的志愿者均可使用应用程序来“捐赠”自己的健康数据。但是由于该应用的匆匆上线和赶工,该系统IT基础架构显然比较薄弱:属于该App的网站经常挂掉。此外,由于邮政编码相关的bug,许多用户在报告在提交数据时被拒绝。RKI承认了问题,并表示正在研究解决方案。
此外还有其他问题。根据Fido安全标准,使用硬件令牌保护自己的Google帐户的用户,都无法通过Android版的App访问用户帐户,因此无法从用户的Google Fit设备传输数据。Android应用也不允许从密码管理器复制密码。
2系统漏洞
不过RKI的数据捐赠应用程序虽然宣称恪守有关数据保护的诺言,但仍有不少改进的空间。
根据Mediatest测试,该应用程序可以a放心使用。 应用使用了加密机制,所有敏感数据都将经加密,且数据都被传输到到德国境内。不过信息协会Gesellschaft für Informatik曾批评“该应用程序在数据保护和IT安全方面不符合基本要求。” Mediatest还发现了一些漏洞。
假名化(Pseudonymisierung)而不是匿名化
用户注册时,应用会根据用户ID和邮政编码生成一个化名,以保护个人数据。Mediatest批评说:“从其他各种情况中可以知道,这样的假名可以很容易地再次分配给真实的人。” 匿名化会更好。
源代码闭源
信息协会和Mediatest的另一个问题是该应用程序不是开源的。因此,软件更新可能会改动其安全级别,而不会引起用户注意。 比如说,上面讨论的假名化机制可以被改变,或者数据传输时还可以传输额外的的设备标识符。
因此,这些调查结果仅仅是当前状况的测试。为了保持对应用程序的信任,必须对其进行重复的安全测试。Mediatest建议遵循Chaos Computer Club的评估应用程序的十个测试标准,其中包括开源。
3这个不是感染者追踪App
不过读者们,不要将RKI的这个健康数据捐赠的应用程序与针对新冠病毒危机的欧洲感染者追踪应用程序相混淆。感染者追踪应用程序称为Pepp-PT(泛欧隐私保护接近跟踪 Pan-European Privacy-Preserving Proximity Tracing),该应用程序并没有开发出来。
关于这个感染者追踪应用程序的相关的新闻可以阅读:
参考
https://t3n.de/news/robert-koch-institut-1269390/
https://t3n.de/news/sicherheits-check-sicher-1270454/
这种自愿提交健康数据的应用你会用吗?
本月新闻&文章回顾
可向下滑动
6568
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
