大学复课 强制学生下载接触者追踪APP引争议

疫情中复课

开学在即，位于密西根州的阿尔比恩学院（Albion College）最近因为一项新的规定饱受争议。该学院要求所有学生在即将到来的学年中下载一个APP来追踪位置和个人健康数据，来防止中共病毒在校园内传播。

阿尔比恩学院

据《华盛顿自由灯塔》的报道，阿尔比恩学院希望在校园内建立一个所谓的“COVID-气泡”（“COVID-bubble”），他们要求学生在整个学期内只能在学校的4.5英里范围内活动。如果学生离开了这个范围，这个叫做Aura的追踪APP会提醒学校管理部门，而学生可能因此被暂时停课。

强制安装这个应用程序引来很多学生和家长的批评。一位女儿在阿尔比恩学院读书的父亲告诉《华盛顿自由灯塔》，他现在必须决定让女儿继续呆在家里，还是允许她的隐私被侵犯。

这位父亲说，“学校希望我的女儿签署一份同意进行取样和实验室测试的表格……我对此感到非常担忧……为什么密西根州的接触者追踪还不够？”

学生到达校园后将被测试，随后进行三天的强制隔离。返回学校的学生必须签署表格，授权向县或州披露其测试结果。学生们还会获得一张可以访问的“获准商家”名单。如果学生打算因为就诊、家庭和宗教义务等原因离开，他们必须提前五天通知管理员。

学生安德鲁·阿尔斯祖洛维奇（Andrew Arszulowicz）说：“我觉得自己像一个五岁的孩子一样，不能被信任会遵守规则。如果学校认为口罩有用的话，为什么我们不能离开？对我来说这说不通。”

由于该学院不开网课，该校表示，“拒绝遵守接触者追踪计划的学生将被迫推迟一个学期或整个学年”。

尽管该学院声称想要建立一个“COVID-气泡”，但是这个规定却有一个漏洞。学生被要求留在校园，但是教授和行政人员却不需要。

Aura APP

Techcrunch的报道称，这个叫做Aura的APP是一家名叫Nucleus Careers的公司开发的。Nucleus Careers是一家位于宾夕法尼亚州的招聘公司，成立于2020年，在构建或开发医疗保健应用程序方面没有明显的历史或经验。该APP是与位于弗吉尼亚州的提供冠状病毒（武汉肺炎）测试的实验室Genetworx合作开发的。

该APP可帮助学生在校园内安排病毒测试并保存测试结果。如果测试结果是阴性的，该APP将显示一个二维码，该二维码在扫描后会显示“认证（Certified）”。如果学生的测试结果为阳性或尚待测试，则二维码将显示为“拒绝（Denied）”。

Aura还会使用学生的实时位置来确定他们是否与感染该病毒的另一个人接触。

一个阿尔比恩学院的学生表示，并不确定这个APP的安全性和隐私性。在仔细研究了该应用程序的源代码后，她找到了托管在Amazon Web Services上的应用程序后端服务器的硬编码密钥。她在自己的推特@Q3w3e3发布了自己的发现，并仔细编辑以防止这一漏洞被滥用。她向Nucleus报告了问题，但没有得到回复。

一位安全研究人员吉尔达（Gilda）看了有关Aura的推文后，也潜入该APP，找到并测试了密钥。吉尔达对TechCrunch表示：“这些按键实际上是’完全访问权限’。”她说，密钥使她能够访问应用程序的数据库和云存储，在其中可以找到患者数据，包括带有姓名，地址和出生日期的COVID-19测试结果。

TechCrunch在注册该APP账户后发现，该APP生成的二维码不是在设备上生成的，而是在Aura网站的隐藏部分上生成的。生成二维码的网址包含Aura用户的帐号，该帐号在应用中看不到。如果将网址中的帐号增加或减少一位数，则会为该用户的Aura帐户生成二维码。

TechCrunch发现，他们不但可以看到其他用户的二维码，还可以看到学生的全名，他们的COVID-19测试结果状态以及该学生被认证或拒绝的日期。他们通过有限的测试发现，该错误可能暴露了大约15000个QR码。

安全研究人员兼Guardian Firewall首席执行官威尔·斯特拉法赫(Will Strafach)说，该应用程序听起来像是“急活”，并且都是在进行安全审查时很容易发现的错误。

这两个漏洞现在都已修复。Nucleus在删除密钥的同一天推出了该应用程序的更新版本，但是没有确认漏洞的存在。

遵守还是拒绝

阿尔比恩的学生在遵守还是拒绝并承担后果方面存在分歧。@ Q3w3e3说她不会使用该应用程序。她告诉TechCrunch：“我正在尝试与大学合作，找到另一种测试方法。”

为了回应学生的发现，阿尔比恩学院表示，该应用符合《健康保险携带和责任法案》（简称HIPAA）的规定。HIPAA规定如何管理健康数据和医疗记录。 HIPAA还要求公司（包括大学）对涉及健康数据的安全漏洞负责。这可能意味着高额罚款，或者在某些情况下会受到起诉。

很多父母也对这项政策表示愤怒。有家长在网上发起请愿，希望该学院停止使用这个APP。

阿尔比恩的学生家长伊丽莎白·伯班克（Elizabeth Burbank）在请愿书上签名反对学校的追踪工作，她说，“我绝对讨厌它。我认为这侵犯了她的隐私和公民自由。当然，我确实想确保我女儿的安全，并帮助其他人获得安全。我们很乐意尽自己的一份力量。但是我不相信GPS追踪器是个好的方法。洗手，吃得健康，并继续研究治疗方法和疫苗。那应该是我们的重点。”

她说：“我确实打算尽一切努力保护女儿的隐私权，并维护她在社区中自由活动的权利。”

• 法国新冠追踪app启动两个月鲜有人用 仅发现72个高危接触者
• 传字节跳动要印尼app删不利中国新闻　中国外交部称遵守当地法律
• 新一代iPhone 灵魂：传Apple要求台积电优先供应5纳米晶片
• 传字节跳动审核印尼新闻App要求删不利中国内容
• 《石涛聚焦》「美国只干不说了 全美孔子学院被定性-外国使团」与央视同类-中共间谍 蓬佩奥「除了抖音微信 其它替中共间谍的app 也会被封掉」（13/08）

安卓翻墙APP、Windows翻墙:ChromeGo
AD：搬瓦工官方翻墙服务Just My Socks，不怕被墙

来源：希望之声臻婷综合编译

原文链接：大学复课 强制学生下载接触者追踪APP引争议 - 中国新闻

本文标签：APP, 二维码, 健康数据, 学校, 学院, 密西根, 密西根州, 应用程序, 肺炎