GoogleのCOVID-19接触通知システムで、プライバシーリスクにつながるデータがサードパーティーのプリインストールアプリから読み取れる状態になっていたそうだ(The AppCensus Blogの記事、 The Markupの記事、 The Vergeの記事、 SlashGearの記事)。

問題のデータは近くにいるユーザー同士が送受信する近接識別子「Rolling Proximity Identifier (RPI)」と、RPIを送ってきたユーザーのMACアドレスだ。GoogleのシステムではこれらのデータをAndroidのシステムログへ書き込むようになっていたという。ユーザーがインストールしたアプリはシステムログを読み取ることはできないが、プリインストールアプリは読み取り可能だ。発見者のAppCensusによれば、システムログ読み取りのパーミッションを得たプリインストールアプリは数多くあるようだ。

RPIは公開されるデータなので一見問題なさそうだが、MACアドレスと組み合わせて大量のデータを照合すればユーザー同士の相関図を作ることができる。また、RPIは10～20分ごとに更新されるものの、陽性者が保健当局に秘密鍵「Temporary Exposure Key (TEK)」を提供し、診断鍵として公開された場合、その陽性者に複数のRPIを結び付けることも可能になる。さらに、ユーザーに接触の有無を通知する際、そのデータもシステムログに記録されるとのこと。そのため、個人を特定可能なデータをログに記録しない、というAndroidのベストプラクティスをGoogle自身が守っていないとAppCensusは批判する。

AppCensusは今回の調査を米国土安全保障省(DHS)科学技術局(S&T)から受注して実施しており、この問題を2月に報奨金プログラムを通じてGoogleへ報告したという。しかし、Googleは報告を却下し、自らバグ報告後の修正期限として推奨する60日以上経過しても修正する様子がなかったため、倫理面について議論した末に開示を決めたとのこと。一方、Googleは報告を受けて数週間前に修正をロールアウトし、今後数日中に完了する見込みだとThe Markupに伝えたとのことだ。