当今通常用作安全通行证和旅行护照的测试数字疫苗接种应用程序中约有三分之二表现出可能危及用户隐私的行为。数字护照应用程序存储个人COVID-19疫苗接种状态、全名、身份证号、出生日期和其他个人身份信息(PII)的证明，这些信息以二维码编码或直接显示在应用程序中。然后，用户可以在需要进入病毒传播高风险区域、旅行所需区域等时出示此二维码或疫苗接种证明。Symantec的团队研究了40个数字疫苗护照应用程序和10个验证（扫描仪）应用程序，发现其中27个存在以下隐私和安全风险。Symantec报告中强调的第一类问题是，其中许多工具生成的二维码没有加密，而只是编码。编码是一个术语，用于表示将数据（在这种情况下为健康数据）转换为易于扫描和处理的数字格式。另一方面，加密使用加密算法将数据转换为不可读的形式。在这种情况下，只有经过授权的实体才拥有解密数据和读取数据的密钥。通过依赖编码而不是加密，任何在检查站使用QR扫描仪应用程序的人都可以解码扫描的数据并推断出敏感的个人详细信息。

Symantec团队发现的另一个普遍问题涉及从云存储服务按需传输健康数据，在38%的情况下不需要HTTPS连接，从而使用户容易受到中间人攻击.第三个问题涉及Android上的外部存储访问权限，这是一个有风险的批准，因为它允许应用程序无条件地访问设备的本地文件。这是40个应用程序中的17个或总数的43%的问题。其他安全风险包括硬编码的云服务凭证和SSLCA验证的缺失，再次将用户的敏感数据置于风险之中。

【来源：Bleeping Computer】