COVID-19 接触者追踪：安全编码情况如何？

这篇文章的一个版本最初出现在 DevOps 文摘。它已在此处更新和发布。

在这一点上，我敢肯定我们都已经厌倦了 “在这个前所未有的时代” 这句话... 但是，这确实是前所未有的时代。去年年底，谁能想到今年我们会竞相战胜一场具有全球破坏性的疫情，并尽我们所能？这看起来几乎是可笑的，与其说是我们全球现实的一部分，不如说是Netflix的新科幻系列。COVID-19 彻底改变了我们的社交生活、经济和就业保障，更不用说政治优先事项了。

针对 COVID-19 的反击之一是通过技术，许多国家推出了接触者追踪应用程序。澳大利亚有以新加坡的TraceTogether为蓝本的COVIDSafe。香港、台湾、中国、韩国、以色列和德国都已实施或正在实施接触者追踪技术。英国一直是欧洲受灾最严重的地区，有成千上万的病毒相关死亡，感染率很高。他们的应用程序即将发布。美国也深受影响，许多人不幸丧生，也在推出技术，但他们各州的接触者追踪方法使他们的情况变得相当复杂。

除了中国和台湾等更受国家控制的国家外，这些应用程序的使用是自愿的，要求公民自行下载和使用该技术。有些采用率比其他采用率更成功；例如，新加坡的TraceTogether应用程序的采用率为25％，这使其无法达到预期的目的。

接触者追踪应用程序背后的想法是合理的。这项技术如果运行良好，将确保迅速发现热点并进行全面测试，这两者都是对抗传染性病毒传播的重要组成部分。但是，“政府” 和 “追踪” 这两个词听起来并不十分吸引人，人们对下载这样的东西对他们到底意味着什么持谨慎态度是很自然的。

那么，用户最关心的问题是什么？如果说在线评论有用武之地，那么其中一些疑虑包括：

• 对政府负责任地使用收集的数据缺乏信任
• 对如何保护个人数据免受网络攻击感到担忧
• 不清楚实际收集了哪些数据、存储在何处以及存储在谁身上
• ... 对于我们中间的开发者/极客来说，这些应用程序的实际构建是多么可靠。

快速构建应用程序总是有点令人担忧，而且这些接触者追踪应用程序必须在创纪录的时间内推出。对于开发人员、安全人员和政府机构来说，这是一场噩梦。

那么，不信任是一种有效的反应吗？在评估 COVID-19 接触者追踪应用程序和最终用户安全时，我们应该将什么视为优先事项？作为一名安全人员，我的本能当然是深入研究该程序的网络安全元素，即代码库对于我们所有人（出于最佳意图）都被迫安装的应用程序来说有多安全。

许多应用程序是彼此的副本（并且继承了相同的问题）。

澳大利亚的COVIDSafe应用程序基本上基于 打开跟踪，新加坡的TraceTogether软件也是如此。但是，问题在于，TraceTogether报告了一系列问题，而且吸收率不佳，只有25％的人口选择作为用户，远远低于该用户的使用率 需要 75% 才能生效。有人抱怨它的总体性能，尤其是在iOS上，包括电池很快就会耗尽。COVIDSafe 有一个 其 iOS 版本中存在潜在的用户体验缺陷，要求解锁手机并在前台运行的应用程序才能正确记录所有数据。

尽管上述问题令人讨厌，但更紧迫的问题是蓝牙漏洞普遍存在，TraceTogether和澳大利亚的COVIDSafe都无法幸免。5月14日， NIST 报告称，COVIDSafe 存在拒绝服务漏洞，允许攻击者在蓝牙握手距离内远程使应用程序崩溃。这将允许有组织攻击中断人口稠密地区的接触者追踪，而在那里它最有用——这是 详细解释了 由安全研究员理查德·纳尔逊撰写。众所周知，它会影响COVIDSafe、TraceTogether、波兰的ProteGo和加拿大的AbtraceTogether——所有这些问题都源于OpenTrace的错误 manudata.subdata 打电话。

总体而言，还有其他与蓝牙功能相关的隐私和安全问题。这项技术被用来通过唯一ID（TempID）追踪人类活动并收集有意义的数据，这一事实将不可避免地意味着攻击者对测试弱点的兴趣激增，此时必须仔细检查到底收集了什么、存储在哪里以及保存了多长时间。

一些应用程序已经显示出导致复杂漏洞的简单错误的迹象。

澳大利亚软件工程师 杰弗里·亨特利 一直在研究COVIDSafe的源代码，遗憾的是，有些问题不一定会被我们这些最终用户强调。

一个关键的例子是泄露隐私的逻辑错误，该错误将允许攻击者对设备进行长期跟踪；这给弱势用户带来了巨大的风险，更不用说它违反了应用程序本身的隐私政策。

值得注意的是，截至5月14日，这些逻辑漏洞已被修补，但更紧迫的问题是，在亨特利报告漏洞后的17天内，这个漏洞一直没有修补。他和这个很棒的安全社区的其他成员正在跟踪与COVIDSafe应用程序相关的简历 这里。

Huntley在补丁发布后指出的一件事是，即使是修复也显示出无能的迹象。在他的公开场合 日志，他指出，该补丁涉及添加逻辑，而不仅仅是删除有缺陷的缓存，后者是一种更强大的补救措施。两者都可以，但是实时解决方案缺乏技巧——对于如此重要的应用程序来说，这是一个问题。

尽管我们有勤奋的社会成员利用自己的时间和专业知识来仔细研究源代码并强调问题，但他们的工作比当初开源代码要困难得多。就目前情况而言， 28 个应用程序 仍不对安全研究人员开放。

安全编码继续使我们在终点线上陷入困境。

虽然我当然可以同情过度劳累的开发人员，以及在疫情期间不得不开发一款拯救生命的应用程序这种非常不寻常的情况，但以上内容应该突出表明，本质上是公共代码库中的一些简单漏洞可能会给数百万用户带来重大问题。

我想大多数人都想成为好公民，支持这个应用程序，让每个人都有尽可能好的机会进行接触者追踪和控制这种可怕病毒的爆发。我也支持可以帮助实现这一目标的技术，但在很多方面，这揭示了全世界开发人员普遍缺乏固有的安全编码原则。

在必须快速编写软件的任何情况下，错误并不完全出乎意料。但是，诸如逻辑缺陷、错误配置和代码注入错误之类的常见安全漏洞应该是在编写代码时可以预防的，而不是在志愿者白帽挑选代码库之后预防的。

顺便说一句，这不是开发人员的错。他们在高等教育毕业后几乎没有安全编码方面的技能，在他们的职业生涯中，他们的关键绩效指标几乎总是与功能和交付速度有关——安全部分在完成后就要由其他人来处理。我们需要快速进入安全编码的最终状态，虽然现在还不是在开发这些应用程序的部门中进行地震文化转变的时候，但这及时提醒我们，我们的数字风险领域正在扩大，如果为他们提供工具和知识来分担安全最佳实践的责任，他们将处于领先地位，可以有所作为。

下载该应用程序安全吗？

问题是：对于作为一名安全人员的我来说，我得出的结论是，该应用程序的好处大于问题。该软件中存在或曾经存在上述漏洞并不理想，但这些漏洞被武器化的影响是最坏的情况。目前，接触者追踪是帮助我们在世界各地的医疗英雄控制传播、阻止住院流以及尽可能确保彼此安全的重要组成部分。

它凸显了我们有一个 长 在软件版本中默认制定安全最佳实践方面，还有很长的路要走，而且公众必须拥有做出明智决策所需的信息。

我和我的家人将继续使用它，尽管我们都应该保持警惕，保持最新的Android补丁。