大學複課 強制學生下載接觸者追蹤APP引爭議

疫情中複課

開學在即，位於密西根州的阿爾比恩學院（Albion College）最近因為一項新的規定飽受爭議。該學院要求所有學生在即將到來的學年中下載一個APP來追蹤位置和個人健康數據，來防止中共病毒在校園內傳播。

阿爾比恩學院

據《華盛頓自由燈塔》的報導，阿爾比恩學院希望在校園內建立一個所謂的「COVID-氣泡」（「COVID-bubble」），他們要求學生在整個學期內只能在學校的4.5英里範圍內活動。如果學生離開了這個範圍，這個叫做Aura的追蹤APP會提醒學校管理部門，而學生可能因此被暫時停課。

強制安裝這個應用程式引來很多學生和家長的批評。一位女兒在阿爾比恩學院讀書的父親告訴《華盛頓自由燈塔》，他現在必須決定讓女兒繼續呆在家裡，還是允許她的隱私被侵犯。

這位父親說，「學校希望我的女兒簽署一份同意進行取樣和實驗室測試的表格……我對此感到非常擔憂……為什麼密西根州的接觸者追蹤還不夠？」

學生到達校園後將被測試，隨後進行三天的強制隔離。返回學校的學生必須簽署表格，授權向縣或州披露其測試結果。學生們還會獲得一張可以訪問的「獲准商家」名單。如果學生打算因為就診、家庭和宗教義務等原因離開，他們必須提前五天通知管理員。

學生安德魯·阿爾斯祖洛維奇（Andrew Arszulowicz）說：「我覺得自己像一個五歲的孩子一樣，不能被信任會遵守規則。如果學校認為口罩有用的話，為什麼我們不能離開？對我來說這說不通。」

由於該學院不開網課，該校表示，「拒絕遵守接觸者追蹤計劃的學生將被迫推遲一個學期或整個學年」。

儘管該學院聲稱想要建立一個「COVID-氣泡」，但是這個規定卻有一個漏洞。學生被要求留在校園，但是教授和行政人員卻不需要。

Aura APP

Techcrunch的報導稱，這個叫做Aura的APP是一家名叫Nucleus Careers的公司開發的。Nucleus Careers是一家位於賓夕法尼亞州的招聘公司，成立於2020年，在構建或開發醫療保健應用程式方面沒有明顯的歷史或經驗。該APP是與位於維吉尼亞州的提供冠狀病毒（武漢肺炎）測試的實驗室Genetworx合作開發的。

該APP可幫助學生在校園內安排病毒測試並保存測試結果。如果測試結果是陰性的，該APP將顯示一個二維碼，該二維碼在掃描後會顯示「認證（Certified）」。如果學生的測試結果為陽性或尚待測試，則二維碼將顯示為「拒絕（Denied）」。

Aura還會使用學生的實時位置來確定他們是否與感染該病毒的另一個人接觸。

一個阿爾比恩學院的學生表示，並不確定這個APP的安全性和隱私性。在仔細研究了該應用程式的原始碼後，她找到了託管在Amazon Web Services上的應用程式後端伺服器的硬編碼密鑰。她在自己的推特@Q3w3e3發布了自己的發現，並仔細編輯以防止這一漏洞被濫用。她向Nucleus報告了問題，但沒有得到回覆。

一位安全研究人員吉爾達（Gilda）看了有關Aura的推文後，也潛入該APP，找到並測試了密鑰。吉爾達對TechCrunch表示：「這些按鍵實際上是'完全訪問權限'。」她說，密鑰使她能夠訪問應用程式的資料庫和雲存儲，在其中可以找到患者數據，包括帶有姓名，地址和出生日期的COVID-19測試結果。

TechCrunch在註冊該APP帳戶後發現，該APP生成的二維碼不是在設備上生成的，而是在Aura網站的隱藏部分上生成的。生成二維碼的網址包含Aura用戶的帳號，該帳號在應用中看不到。如果將網址中的帳號增加或減少一位數，則會為該用戶的Aura帳戶生成二維碼。

TechCrunch發現，他們不但可以看到其他用戶的二維碼，還可以看到學生的全名，他們的COVID-19測試結果狀態以及該學生被認證或拒絕的日期。他們通過有限的測試發現，該錯誤可能暴露了大約15000個QR碼。

安全研究人員兼Guardian Firewall執行長威爾·斯特拉法赫(Will Strafach)說，該應用程式聽起來像是「急活」，並且都是在進行安全審查時很容易發現的錯誤。

這兩個漏洞現在都已修復。Nucleus在刪除密鑰的同一天推出了該應用程式的更新版本，但是沒有確認漏洞的存在。

遵守還是拒絕

阿爾比恩的學生在遵守還是拒絕並承擔後果方面存在分歧。@ Q3w3e3說她不會使用該應用程式。她告訴TechCrunch：「我正在嘗試與大學合作，找到另一種測試方法。」

為了回應學生的發現，阿爾比恩學院表示，該應用符合《健康保險攜帶和責任法案》（簡稱HIPAA）的規定。HIPAA規定如何管理健康數據和醫療記錄。 HIPAA還要求公司（包括大學）對涉及健康數據的安全漏洞負責。這可能意味著高額罰款，或者在某些情況下會受到起訴。

很多父母也對這項政策表示憤怒。有家長在網上發起請願，希望該學院停止使用這個APP。

阿爾比恩的學生家長伊莉莎白·伯班克（Elizabeth Burbank）在請願書上簽名反對學校的追蹤工作，她說，「我絕對討厭它。我認為這侵犯了她的隱私和公民自由。當然，我確實想確保我女兒的安全，並幫助其他人獲得安全。我們很樂意儘自己的一份力量。但是我不相信GPS追蹤器是個好的方法。洗手，吃得健康，並繼續研究治療方法和疫苗。那應該是我們的重點。」

她說：「我確實打算盡一切努力保護女兒的隱私權，並維護她在社區中自由活動的權利。」