C0050
الادعاء
“فشل في ذكر سياسة خصوصية تطبيق COVIDSafe بأن معلومات حول طراز الهاتف واسم الجهاز (مثلاً 'iPhone الخاصة بماري') يتم بثها عبر البلوتوث. مثال على استغلال هذا هو أن أحد مرتكبي العنف المنزلي يمكنه معرفة ما إذا كانت الضحية في المنزل ورفاق منزلها ليسوا كذلك، دون أن يضع قدمًا في المبنى.”
المصدر الأصلي: Matthew Davis
تاريخ التحليل: 29 Jan 2026
المصادر الأصلية المقدمة
✅ التحقق من الحقائق
تَحْتَوِي tḥtwy الْمَزَاعِمُ ạlmzạʿm الْأَسَاسِيَّةُ ạlạ̉sạsyẗ عَلَى ʿly̱ عِدَّةِ ʿdẗ عَنَاصِرِ ʿnạṣr تِقْنِيَّةٍ tqnyẗ وَوَاقِعِيَّةٍ wwạqʿyẗ تَتَطَلَّبُ ttṭlb التَّحَقُّقُ ạltḥqq الدَّقيقُ ạldqyq:
The core claim contains multiple technical and factual elements that require careful verification:
### ### مَا mạ تُظْهِرُهُ tuẓhrh تَوْثِيقَاتُ twtẖyqạt CVE CVE فِعْلًا fʿlạaⁿ ### What the CVE Documentation Actually Shows
هناك hnạk ثغرة tẖgẖrẗ أمنية ạ̉mnyẗ حقيقية ḥqyqyẗ في fy البلوتوث ạlblwtwtẖ في fy COVIDSafe COVIDSafe (Android (Android v1.0.17 v1.0.17 والإصدارات wạlạ̹ṣdạrạt السابقة)، ạlsạbqẗ), موثقة mwtẖqẗ باسم bạsm **CVE-2020-12860** **CVE-2020-12860** و**CVE-2020-12856** w**CVE-2020-12856** [1][2]. [1][2]. There IS a genuine Bluetooth vulnerability in COVIDSafe (Android v1.0.17 and earlier), documented as **CVE-2020-12860** and **CVE-2020-12856** [1][2].
ومع wmʿ ذلك، dẖlk, فإن fạ̹n وصف wṣf المزاعم ạlmzạʿm للمعلومات llmʿlwmạt المُعرَّضة ạlmuʿrãḍẗ دقيقة dqyqẗ جزئياً jzỷyạaⁿ ولكنه wlknh يتطلب ytṭlb سياقاً syạqạaⁿ مهماً. mhmạaⁿ. However, the claim's characterization of what information is exposed is partially accurate but requires important context.
وفقاً wfqạaⁿ للتوثيق lltwtẖyq التقني ạltqny لـ l CVE-2020-12860، CVE-2020-12860, فإن fạ̹n COVIDSafe COVIDSafe حتى ḥty̱ الإصدار ạlạ̹ṣdạr v1.0.17 v1.0.17 "يسمح "ysmḥ لمهاجم lmhạjm عن ʿn بعد bʿd بالوصول bạlwṣwl إلى ạ̹ly̱ معلومات mʿlwmạt اسم ạsm الهاتف ạlhạtf والطراز wạlṭrạz لأن lạ̉n جهاز jhạz BLE BLE يمكن ymkn أن ạ̉n يكون ykwn له lh أربعة ạ̉rbʿẗ أدوار ạ̉dwạr وCOVIDSafe wCOVIDSafe يستخدمها ystkẖdmhạ جميعها" jmyʿhạ" [1]. [1]. According to the CVE-2020-12860 technical documentation, COVIDSafe through v1.0.17 "allows a remote attacker to access phone name and model information because a BLE device can have four roles and COVIDSafe uses all of them" [1].
وهذا whdẖạ يسمح ysmḥ بـ b "إعادة "ạ̹ʿạdẗ تحديد tḥdyd هوية hwyẗ الجهاز، ạljhạz, وتحديد wtḥdyd هوية hwyẗ المالك ạlmạlk المحتمل" ạlmḥtml" [1]. [1]. This allows for "re-identification of a device, and potentially identification of the owner's name" [1].
وثَغْرة wtẖagẖ̊rẗ منفصلة، mnfṣlẗ, CVE-2020-12856، CVE-2020-12856, اكتشفها ạktsẖfhạ الباحثان ạlbạḥtẖạn جيم jym موسارد mwsạrd وألوين wạ̉lwyn تيو، tyw, تصف tṣf "مشكلة "msẖklẗ الاقتران ạlạqtrạn الصامت" ạlṣạmt" حيث ḥytẖ "يتضمن "ytḍmn عملية ʿmlyẗ الاقتران ạlạqtrạn تبادل tbạdl معرفات mʿrfạt دائمة dạỷmẗ لهاتف lhạtf الضحية: ạlḍḥyẗ: عنوان ʿnwạn هوية hwyẗ جهاز jhạz البلوتوث ạlblwtwtẖ في fy الهاتف ạlhạtf ومفتاح wmftạḥ تشفير tsẖfyr يُسمى yusmy̱ مفتاح mftạḥ حل ḥl الهوية ạlhwyẗ (IRK)" (IRK)" [3]. [3]. A separate vulnerability, CVE-2020-12856, discovered by researchers Jim Mussared and Alwen Tiu, describes a "silent pairing issue" where "the bonding process involves exchanges of permanent identifiers of the victim phone: the identity address of the bluetooth device in the phone and a cryptographic key called Identity Resolving Key (IRK)" [3].
يمكن ymkn استخدام ạstkẖdạm أي ạ̉y من mn المعرفين ạlmʿrfyn لـ l "التتبع "ạlttbʿ طويل ṭwyl المدى ạlmdy̱ للهاتف" llhạtf" [3]. [3]. Either identifier can be used for "long term tracking of the phone" [3].
### ### بَثَّ btẖ اِسْمِ ạsm الْجِهَازِ ạljhạz - - يَحْتَاجُ yḥtạj إِلَى ạ̹ly̱ تَوْضِيحٍ twḍyḥ ### Device Name Broadcasting - Clarification Needed
تفصيل tfṣyl حرج: ḥrj: وفقاً wfqạaⁿ لسلسلة lslslẗ تغريدات tgẖrydạt من mn الباحث ạlbạḥtẖ الأمني ạlạ̉mny ماثيو mạtẖyw روكلين rwklyn (@matthewrdev)، (@matthewrdev), "التطبيق "ạltṭbyq *لا* *lạ* يبث ybtẖ اسم ạsm الجهاز" ạljhạz" في fy التشغيل ạltsẖgẖyl العادي ạlʿạdy للتطبيق lltṭbyq [4]. [4]. A critical detail: According to a Twitter thread by security researcher Matthew Rocklin (@matthewrdev), "the app *does not* broadcast the device name" in the standard operation of the app [4].
بدلاً bdlạaⁿ من mn ذلك، dẖlk, "عندما "ʿndmạ يكتشف yktsẖf هاتف hạtf آخرك، ậkẖrk, يتم ytm تحديد tḥdyd هويتك hwytk باستخدام bạstkẖdạm عنوان ʿnwạn بلوتوث blwtwtẖ وليس wlys اسم ạsm الجهاز" ạljhạz" [4]. [4]. Instead, "when another phone detects you, you are identified using a Bluetooth address and not a device name" [4].
ومع wmʿ ذلك، dẖlk, تسمح tsmḥ ثغرة tẖgẖrẗ CVE-2020-12860 CVE-2020-12860 للمهاجمين llmhạjmyn باستخراج bạstkẖrạj معلومات mʿlwmạt طراز ṭrạz الهاتف ạlhạtf واسم wạsm الجهاز ạljhạz من mn خلال kẖlạl سوء swʾ استخدام ạstkẖdạm أدوار ạ̉dwạr BLE، BLE, مما mmạ يعني yʿny أن ạ̉n اسم ạsm الجهاز ạljhạz *متاح* *mtạḥ* من mn خلال kẖlạl استغلال ạstgẖlạl هذه hdẖh الثغرة، ạltẖgẖrẗ, حتى ḥty̱ لو lw لم lm يكن ykn يُبث yubtẖ في fy التشغيل ạltsẖgẖyl العادي ạlʿạdy [1][2]. [1][2]. However, the CVE-2020-12860 vulnerability allows attackers to extract phone model AND device name information through BLE role misuse, meaning the device name IS accessible through exploitation of this vulnerability, even if not broadcast in normal operation [1][2].
### ### الْإفْصَاحَ ạlạ̹fṣạḥ فِي fy سِيَاسَةِ syạsẗ الْخُصُوصِيَّةِ ạlkẖṣwṣyẗ ### Privacy Policy Disclosure
بخصوص bkẖṣwṣ المزاعم ạlmzạʿm بأن bạ̉n هذا hdẖạ لم lm يُذكر yudẖkr في fy سياسة syạsẗ الخصوصية: ạlkẖṣwṣyẗ: وجد wjd البحث ạlbḥtẖ الأكاديمي ạlạ̉kạdymy من mn جامعة jạmʿẗ كوينزلاند kwynzlạnd للتكنولوجيا lltknwlwjyạ حول ḥwl تنفيذ tnfydẖ COVIDSafe COVIDSafe أن ạ̉n الحكومة ạlḥkwmẗ قدمت qdmt تقييم tqyym تأثير tạ̉tẖyr الخصوصية ạlkẖṣwṣyẗ يركز yrkz على ʿly̱ جمع jmʿ بيانات byạnạt البلوتوث ạlblwtwtẖ [5]. [5]. Regarding the claim that this wasn't mentioned in the privacy policy: The QUT academic research on COVIDSafe implementation found that the government provided a Privacy Impact Assessment focusing on Bluetooth data collection [5].
ومع wmʿ ذلك، dẖlk, فإن fạ̹n تفاصيل tfạṣyl المعلومات ạlmʿlwmạt التي ạlty يمكن ymkn استخراجها ạstkẖrạjhạ من mn خلال kẖlạl ثغرات tẖgẖrạt BLE BLE قد qd لا lạ تكون tkwn مفصلة mfṣlẗ صراحةً ṣrạḥẗaⁿ في fy توثيق twtẖyq سياسة syạsẗ الخصوصية ạlkẖṣwṣyẗ الموجهة ạlmwjhẗ للمستهلك llmsthlk [5]. [5]. However, the specifics of what information could be extracted through BLE vulnerabilities may not have been explicitly detailed in consumer-facing privacy policy documentation [5].
لاحظت lạḥẓt سياسة syạsẗ الخصوصية ạlkẖṣwṣyẗ أنه ạ̉nh "يمكن "ymkn استخدام ạstkẖdạm فحص fḥṣ البلوتوث ạlblwtwtẖ لجمع ljmʿ معلومات mʿlwmạt حول ḥwl موقع mwqʿ المستخدم" ạlmstkẖdm" [6]، [6], ولكنها wlknhạ قد qd لا lạ تكون tkwn قد qd فصّلت fṣ̃lt الثغرة ạltẖgẖrẗ المحددة ạlmḥddẗ لاستخراج lạstkẖrạj اسم/طراز ạsm/ṭrạz الجهاز ạljhạz [5]. [5]. The privacy policy did note that "a Bluetooth scan can be used to gather information about the location of the user" [6], but may not have detailed the specific vulnerability of device name/model extraction [5].
السياق المفقود
### ### الْجَدْوَلَ ạljdwl الزَّمَنِيَّ ạlzmny وَحَالَةَ wḥạlẗ التَّصْحِيحِ ạltṣḥyḥ
### Timeline and Patch Status
تم tm الإبلاغ ạlạ̹blạgẖ عن ʿn الثغرة ạltẖgẖrẗ إلى ạ̹ly̱ DTA DTA (وزارة (wzạrẗ الشؤون ạlsẖw̉wn الداخلية) ạldạkẖlyẗ) في fy 5 5 مايو mạyw 2020، 2020, و**تم w**tm إصلاحها ạ̹ṣlạḥhạ في fy COVIDSafe COVIDSafe (Android) (Android) v1.0.18** v1.0.18** [3]. [3]. The vulnerability was reported to DTA (Department of Home Affairs) on May 5, 2020, and **was fixed in COVIDSafe (Android) v1.0.18** [3].
تم tm نشر nsẖr التطبيق ạltṭbyq في fy 26 26 أبريل ạ̉bryl 2020، 2020, مما mmạ يعني yʿny أن ạ̉n هذه hdẖh الثغرة ạltẖgẖrẗ كانت kạnt موجودة mwjwdẗ لمدة lmdẗ 3 3 أسابيع ạ̉sạbyʿ تقريباً tqrybạaⁿ قبل qbl توفر twfr التصحيحات ạltṣḥyḥạt [1][3]. [1][3]. The app was deployed April 26, 2020, meaning this vulnerability existed for approximately 3 weeks before patches were available [1][3].
تم tm تنفيذ tnfydẖ الإصلاح ạlạ̹ṣlạḥ على ʿly̱ الفور ạlfwr بعد bʿd الاكتشاف ạlạktsẖạf [3]. [3]. The fix was implemented promptly after discovery [3].
### ### اِسْتِغْلَاَلَ ạstgẖlạl الْعُنْفِ ạlʿnf الْمَنْزِلِيِّ ạlmnzly - - نَظَرَي nẓry مُقَابِلُ mqạbl مُثَبَّتُ mutẖbt ### Domestic Violence Exploitation - Theoretical vs Proven
بينما bynmạ تقدم tqdm المزاعم ạlmzạʿm سيناريو synạryw يمكن ymkn فيه fyh "لأحد "lạ̉ḥd مرتكبي mrtkby العنف ạlʿnf المنزلي ạlmnzly معرفة mʿrfẗ ما mạ إذا ạ̹dẖạ كانت kạnt الضحية ạlḍḥyẗ في fy المنزل ạlmnzl ورفاق wrfạq منزلها mnzlhạ ليسوا lyswạ كذلك"، kdẖlk", يبدو ybdw أن ạ̉n هذا hdẖạ **ثغرة **tẖgẖrẗ نظرية nẓryẗ وليس wlys دليلاً dlylạaⁿ على ʿly̱ استغلال ạstgẖlạl فعلي** fʿly** [1][3]. [1][3]. While the claim presents a scenario where "a domestic violence abuser can tell whether the victim is at home and their house-mates are not," this appears to be a **theoretical vulnerability rather than documented evidence of actual exploitation** [1][3].
تناقش tnạqsẖ توثيقات twtẖyqạt CVE CVE القدرة ạlqdrẗ التقنية ạltqnyẗ على ʿly̱ "التتبع "ạlttbʿ طويل ṭwyl المدى" ạlmdy̱" من mn خلال kẖlạl استخراج ạstkẖrạj معرف mʿrf BLE BLE [3]، [3], ولكن wlkn لا lạ يوجد ywjd دليل dlyl في fy الإفصاحات ạlạ̹fṣạḥạt المنشورة ạlmnsẖwrẗ عن ʿn الثغرات ạltẖgẖrạt أو ạ̉w الأدبيات ạlạ̉dbyạt الأكاديمية ạlạ̉kạdymyẗ أو ạ̉w التقارير ạltqạryr الإعلامية ạlạ̹ʿlạmyẗ عن ʿn حالات ḥạlạt فعلية fʿlyẗ تم tm فيها fyhạ استغلال ạstgẖlạl هذه hdẖh الثغرة ạltẖgẖrẗ للتتبع llttbʿ المنزلي ạlmnzly [2][3]. [2][3]. The CVE documents discuss the technical capability for "long term tracking" through BLE identifier extraction [3], but there is no evidence in the published vulnerability disclosures, academic literature, or media reporting of actual instances where this vulnerability was exploited for domestic violence tracking [2][3].
هذا hdẖạ **قلق **qlq أمني ạ̉mny مشروع** msẖrwʿ** حدده ḥddh الباحثون ạlbạḥtẖwn وأفصحوا wạ̉fṣḥwạ عنه ʿnh بمسؤولية، bmsw̉wlyẗ, ولكن wlkn وصفه wṣfh كطريقة kṭryqẗ استغلال ạstgẖlạl معروفة mʿrwfẗ دون dwn حالات ḥạlạt موثقة mwtẖqẗ هو hw استنتاج ạstntạj يتجاوز ytjạwz ما mạ تُظهره tuẓhrh الأدلة. ạlạ̉dlẗ. This is a **legitimate security concern** that researchers identified and responsibly disclosed, but characterizing it as a known exploitation method without documented instances is an extrapolation beyond what the evidence shows.
### ### الدقة ạldqẗ التقنية ạltqnyẗ لـ l "البث" "ạlbtẖ" ### Technical Accuracy of "Broadcasting"
تستخدم tstkẖdm المزاعم ạlmzạʿm كلمة klmẗ "بث" "btẖ" وهي why غير gẖyr دقيقة dqyqẗ تقنياً. tqnyạaⁿ. The claim uses the word "broadcast" which is technically imprecise.
أَسَمَاءُ ạ̉smạʾ الْأَجْهِزَةِ ạlạ̉jhzẗ لَا lạ تُبَثُّ tubtẖ بِشَكْلِ bsẖkl مُسْتَمِرِّ mstmr فِي fy التَّشْغِيلِ ạltsẖgẖyl الْعَادِيِّ ạlʿạdy ل l COVIDSafe COVIDSafe. Device names are not continuously broadcast in COVIDSafe's normal operation.
بل bl تُعرَّض tuʿrãḍ من mn خلال kẖlạl ثغرات tẖgẖrạt تقنية tqnyẗ BLE BLE (سوء (swʾ استخدام ạstkẖdạm الأدوار) ạlạ̉dwạr) التي ạlty تسمح tsmḥ للمهاجمين llmhạjmyn باستخراج bạstkẖrạj هذه hdẖh المعلومات ạlmʿlwmạt من mn مكدس mkds البلوتوث ạlblwtwtẖ في fy الجهاز ạljhạz [1][2]. [1][2]. Rather, they are exposed through BLE technical vulnerabilities (role misuse) that allow attackers to extract this information from the device's Bluetooth stack [1][2].
هذا hdẖạ تمييز tmyyz مهم mhm لأنه lạ̉nh يؤثر yw̉tẖr على ʿly̱ نمذجة nmdẖjẗ التهديد ạlthdyd - - سيحتاج syḥtạj المهاجم ạlmhạjm إلى ạ̹ly̱ إجراء ạ̹jrạʾ استغلال ạstgẖlạl تقني tqny فعّال، fʿ̃ạl, وليس wlys مجرد mjrd التواجد ạltwạjd في fy نطاق nṭạq البلوتوث ạlblwtwtẖ [3]. [3]. This is a meaningful distinction because it affects threat modeling—an attacker would need to actively conduct a technical exploit, not merely be in Bluetooth range [3].
تقييم مصداقية المصدر
المصدر ạlmṣdr الأصلي ạlạ̉ṣly هو hw **Google **Google Doc** Doc** بدون bdwn مؤلف mw̉lf محدد، mḥdd, أو ạ̉w انتساب ạntsạb مؤسسي، mw̉ssy, أو ạ̉w أوراق ạ̉wrạq اعتماد ạʿtmạd نشر nsẖr مدرجة mdrjẗ في fy ملف mlf المزاعم ạlmzạʿm [7]. [7].
The original source is a **Google Doc** with no identified author, institutional affiliation, or publication credentials listed in the claim file [7].
بدون bdwn الوصول ạlwṣwl لعرض lʿrḍ المستند ạlmstnd الكامل، ạlkạml, فإن fạ̹n تقييم tqyym مصداقيته mṣdạqyth محدود. mḥdwd. Without access to view the full document, assessing its credibility is limited.
ومع wmʿ ذلك، dẖlk, تشير tsẖyr المزاعم ạlmzạʿm إلى ạ̹ly̱ ثغرات tẖgẖrạt أمنية ạ̉mnyẗ مشروعة msẖrwʿẗ (CVE-2020-12860 (CVE-2020-12860 وCVE-2020-12856) wCVE-2020-12856) موثقة mwtẖqẗ جيداً jydạaⁿ في fy المصادر ạlmṣạdr الرسمية. ạlrsmyẗ. However, the claim does reference legitimate security vulnerabilities (CVE-2020-12860 and CVE-2020-12856) that are well-documented in official sources.
الإفصاحات ạlạ̹fṣạḥạt الأساسية ạlạ̉sạsyẗ والبحث wạlbḥtẖ الأكاديمي ạlạ̉kạdymy من mn مصادر mṣạdr موثوقة: mwtẖwqẗ: - - **CVE-2020-12860**: **CVE-2020-12860**: منشور mnsẖwr من mn MITRE/NVD MITRE/NVD (قاعدة (qạʿdẗ بيانات byạnạt الثغرات ạltẖgẖrạt الوطنية)، ạlwṭnyẗ), تتبع ttbʿ رسمي rsmy للثغرات lltẖgẖrạt [1] [1] - - **CVE-2020-12856**: **CVE-2020-12856**: اكتشفها ạktsẖfhạ وأفصح wạ̉fṣḥ عنها ʿnhạ جيم jym موسارد mwsạrd (George (George Robotics) Robotics) وألوين wạ̉lwyn تيو tyw (ANU)، (ANU), منشور mnsẖwr على ʿly̱ GitHub GitHub مع mʿ توثيق twtẖyq تقني tqny [3] [3] - - **البحث **ạlbḥtẖ الأكاديمي ạlạ̉kạdymy من mn QUT**: QUT**: مقالة mqạlẗ مراجعة mrạjʿẗ من mn قبل qbl النظراء ạlnẓrạʾ حول ḥwl تنفيذ tnfydẖ COVIDSafe COVIDSafe من mn جامعة jạmʿẗ كوينزلاند kwynzlạnd للتكنولوجيا lltknwlwjyạ [5] [5] هذه hdẖh المصادر ạlmṣạdr هي hy إفصاحات ạ̹fṣạḥạt تقنية tqnyẗ موثوقة، mwtẖwqẗ, وليست wlyst مصادر mṣạdr حزبية. ḥzbyẗ. The underlying CVE disclosures and academic research are from credible sources:
- **CVE-2020-12860**: Published by MITRE/NVD (National Vulnerability Database), official vulnerability tracking [1]
- **CVE-2020-12856**: Discovered and disclosed by Jim Mussared (George Robotics) and Alwen Tiu (ANU), published on GitHub with technical documentation [3]
- **QUT Academic Research**: Peer-reviewed article on COVIDSafe implementation from Queensland University of Technology [5]
These sources are credible technical disclosures, not partisan sources.
⚖️
مقارنة حزب العمال
**هل **hl كانت kạnt لدى ldy̱ Labor Labor إخفاقات ạ̹kẖfạqạt مكافئة mkạfỷẗ في fy خصوصية kẖṣwṣyẗ التكنولوجيا؟** ạltknwlwjyạ?** البحث ạlbḥtẖ المُجري: ạlmujry: "Labor "Labor government government technology technology privacy privacy failures failures contact contact tracing" tracing" كان kạn تورط twrṭ Labor Labor مع mʿ تكنولوجيا tknwlwjyạ تتبع ttbʿ جهات jhạt الاتصال ạlạtṣạl محدوداً mḥdwdạaⁿ خلال kẖlạl هذه hdẖh الفترة، ạlftrẗ, حيث ḥytẖ كانت kạnt حكومة ḥkwmẗ Coalition Coalition في fy السلطة ạlslṭẗ (2013-2022) (2013-2022) وهي why التي ạlty طوّرت ṭw̃rt COVIDSafe. COVIDSafe.
**Did Labor have equivalent technology privacy failures?**
Search conducted: "Labor government technology privacy failures contact tracing"
Labor's involvement with contact tracing technology was limited during this period, as the Coalition government held power (2013-2022) and developed COVIDSafe.
كانت kạnt Labor Labor في fy المعارضة ạlmʿạrḍẗ ولم wlm تطوّر tṭw̃r تطبيق tṭbyq تتبع ttbʿ بديل bdyl [8]. [8]. Labor was in opposition and did not develop an alternative contact tracing app [8].
ومع wmʿ ذلك، dẖlk, كانت kạnt هناك hnạk مخاوف mkẖạwf أوسع ạ̉wsʿ من mn خصوصية kẖṣwṣyẗ التكنولوجيا ạltknwlwjyạ عبر ʿbr كلا klạ الحزبين: ạlḥzbyn: - - واجهت wạjht حكومات ḥkwmạt Labor Labor وCoalient wCoalient على ʿly̱ حد ḥd سواء swạʾ انتقادات ạntqạdạt بسبب bsbb حمايات ḥmạyạt الخصوصية ạlkẖṣwṣyẗ غير gẖyr الكافية ạlkạfyẗ في fy الخدمات ạlkẖdmạt الحكومية ạlḥkwmyẗ الرقمية ạlrqmyẗ [8] [8] - - كانت kạnt جهود jhwd إصلاح ạ̹ṣlạḥ الخصوصية ạlkẖṣwṣyẗ في fy أستراليا ạ̉strạlyạ قضايا qḍạyạ عبر ʿbr الأحزاب، ạlạ̉ḥzạb, مع mʿ مخاوف mkẖạwf مُثارة mutẖạrẗ حول ḥwl ممارسات mmạrsạt تعامل tʿạml الحكومة ạlḥkwmẗ مع mʿ البيانات ạlbyạnạt بشكل bsẖkl عام، ʿạm, وليس wlys محددة mḥddẗ لحزب lḥzb واحد wạḥd [8] [8] - - القضايا ạlqḍạyạ الأوسع ạlạ̉wsʿ في fy إطار ạ̹ṭạr الخصوصية ạlkẖṣwṣyẗ التي ạlty استدعت ạstdʿt تشريعات tsẖryʿạt خاصة kẖạṣẗ لـ l COVIDSafe COVIDSafe هي hy نظامية nẓạmyẗ لنظام lnẓạm الخصوصية ạlkẖṣwṣyẗ الأسترالي ạlạ̉strạly المجزأ، ạlmjzạ̉, وليست wlyst فريدة frydẗ لتنفيذ ltnfydẖ Coalition Coalition [5] [5] باختصار، bạkẖtṣạr, لا lạ يوجد ywjd نظير nẓyr مباشر mbạsẖr لـ l Labor Labor لأن lạ̉n Labor Labor لم lm تكن tkn في fy الحكومة ạlḥkwmẗ خلال kẖlạl جائحة jạỷḥẗ COVID-19 COVID-19 ولم wlm تطوّر tṭw̃r تطبيقات tṭbyqạt تتبع ttbʿ جهات jhạt الاتصال. ạlạtṣạl. However, broader technology privacy concerns existed across both parties:
- Both Labor and Coalition governments have faced criticism for inadequate privacy protections in digital government services [8]
- Privacy reform efforts in Australia have been cross-party issues, with concerns raised about government data handling practices generally, not specific to one party [8]
- The broader privacy framework issues that necessitated special COVIDSafe legislation are systemic to Australia's fragmented privacy law regime, not unique to Coalition implementation [5]
In essence, there is no direct Labor equivalent because Labor was not in government during the COVID-19 pandemic and did not develop contact tracing apps.
🌐
منظور متوازن
### ### الثُّغْرَةَ ạltẖgẖrẗ التِّقْنِيَّةَ ạltqnyẗ الْمَشْرُوعَةَ ạlmsẖrwʿẗ
### The Legitimate Technical Vulnerability
المزاعم ạlmzạʿm **صحيحة **ṣḥyḥẗ في fy أن ạ̉n ثغرة tẖgẖrẗ أمنية ạ̉mnyẗ تقنية tqnyẗ حقيقية ḥqyqyẗ كانت kạnt موجودة** mwjwdẗ** في fy COVIDSafe COVIDSafe يمكن ymkn أن ạ̉n تعرض tʿrḍ نظرياً nẓryạaⁿ معلومات mʿlwmạt طراز ṭrạz واسم wạsm الجهاز، ạljhạz, وأن wạ̉n هذه hdẖh المعلومات ạlmʿlwmạt يمكن ymkn استخدامها ạstkẖdạmhạ محتملاً mḥtmlạaⁿ لتتبع lttbʿ موقع/حضور mwqʿ/ḥḍwr شخص sẖkẖṣ ما mạ [1][3]. [1][3]. The claim is **correct that a genuine technical vulnerability existed** in COVIDSafe that could theoretically expose device model and name information, and that this information could potentially be used to track someone's location/presence [1][3].
كانت kạnt الثغرة ạltẖgẖrẗ حقيقية، ḥqyqyẗ, موثقة mwtẖqẗ من mn قبل qbl باحثين bạḥtẖyn أمنيين ạ̉mnyyn موثوق mwtẖwq بهم، bhm, وأُفصح wạủfṣḥ عنها ʿnhạ بمسؤولية bmsw̉wlyẗ [3]. [3]. The vulnerability was real, documented by credible security researchers, and responsibly disclosed [3].
### ### اِسْتِجَابَةَ ạstjạbẗ الْحُكُومَةِ ạlḥkwmẗ ### The Government's Response
بإيجابية، bạ̹yjạbyẗ, تصرفت tṣrft الحكومة ạlḥkwmẗ الأسترالية ạlạ̉strạlyẗ على ʿly̱ الإفصاح ạlạ̹fṣạḥ عن ʿn طريق ṭryq إصدار ạ̹ṣdạr تصحيح tṣḥyḥ (v1.0.18) (v1.0.18) في fy غضون gẖḍwn 3 3 أسابيع ạ̉sạbyʿ تقريباً tqrybạaⁿ من mn إخطارها ạ̹kẖṭạrhạ [3]. [3]. Positively, the Australian Government acted on the disclosure by releasing a patch (v1.0.18) within approximately 3 weeks of being notified [3].
تضمن tḍmn التطبيق ạltṭbyq أيضاً ạ̉yḍạaⁿ حمايات ḥmạyạt خصوصية kẖṣwṣyẗ إضافية ạ̹ḍạfyẗ مقارنة mqạrnẗ بتطبيقات btṭbyqạt مماثلة mmạtẖlẗ مثل mtẖl TraceTogether TraceTogether في fy سنغافورة، sngẖạfwrẗ, بما bmạ في fy ذلك dẖlk عقوبات ʿqwbạt جنائية jnạỷyẗ للاستخدام llạstkẖdạm غير gẖyr المصرح ạlmṣrḥ به bh للبيانات llbyạnạt [5]. [5]. The app also included additional privacy protections compared to comparable apps like Singapore's TraceTogether, including criminal penalties for unauthorized data use [5].
### ### الْمَزَاعِمَ ạlmzạʿm الْمُبَالِغَ ạlmbạlgẖ فِيهَا fyhạ حَوْل ḥwl الْاِسْتِغْلَاَلِ ạlạstgẖlạl الْعَمَلِيِّ ạlʿmly ### Overstated Claims About Practical Exploitation
القفز ạlqfz من mn "توجد "twjd ثغرة tẖgẖrẗ أمنية ạ̉mnyẗ تقنية tqnyẗ يمكن ymkn أن ạ̉n تعرض tʿrḍ نظرياً nẓryạaⁿ معلومات mʿlwmạt الجهاز" ạljhạz" إلى ạ̹ly̱ "يمكن "ymkn لمرتكبي lmrtkby العنف ạlʿnf المنزلي ạlmnzly استغلال ạstgẖlạl هذا" hdẖạ" غير gẖyr مدعوم mdʿwm بالأدلة. bạlạ̉dlẗ. The leap from "a technical vulnerability exists that theoretically could expose device information" to "domestic violence abusers can exploit this" is not supported by evidence.
بينما bynmạ المخاطر ạlmkẖạṭr النظرية ạlnẓryẗ صالحة ṣạlḥẗ للتقارير lltqạryr الأمنية، ạlạ̉mnyẗ, فإن fạ̹n الادعاء ạlạdʿạʾ باستغلال bạstgẖlạl موثق mwtẖq دون dwn أدلة ạ̉dlẗ مضلل mḍll [1][3][7]. [1][3][7]. While the theoretical risk is valid for security advisories, claiming documented exploitation without evidence is misleading [1][3][7].
### ### قَضِيَّةَ qḍyẗ سِيَاسَةِ syạsẗ الْخُصُوصِيَّةِ ạlkẖṣwṣyẗ وَالْإفْصَاحِ wạlạ̹fṣạḥ ### Privacy Policy and Disclosure Issue
الْاِدِّعَاءُ ạlạdʿạʾ حَوْل ḥwl إفْصَاحِ ạ̹fṣạḥ سِيَاسَةِ syạsẗ الْخُصُوصِيَّةِ ạlkẖṣwṣyẗ صَالَحَ ṣạlḥ جُزْئِيًّا jzỷyạaⁿ. The claim about privacy policy disclosure is partially valid.
قد qd لا lạ تكون tkwn الحكومة ạlḥkwmẗ قد qd فصّلت fṣ̃lt مخاطر mkẖạṭr ثغرات tẖgẖrạt BLE BLE للمستخدمين llmstkẖdmyn العاديين، ạlʿạdyyn, على ʿly̱ الرغم ạlrgẖm من mn أن ạ̉n محترفي mḥtrfy الخصوصية ạlkẖṣwṣyẗ سي_expectون sy_expectwn مثل mtẖl هذه hdẖh المخاطر ạlmkẖạṭr أن ạ̉n تكون tkwn جزءاً jzʾạaⁿ من mn نمذجة nmdẖjẗ تهديدات thdydạt الأمن ạlạ̉mn [5]. [5]. The government may not have explicitly detailed BLE vulnerability risks to general users, though privacy professionals would expect such risks to be part of security threat modeling [5].
كشفت ksẖft سياسة syạsẗ الخصوصية ạlkẖṣwṣyẗ عن ʿn جمع jmʿ بيانات byạnạt البلوتوث، ạlblwtwtẖ, ولكن wlkn قد qd لا lạ تكون tkwn تفاصيل tfạṣyl هجمات hjmạt BLE BLE المحتملة ạlmḥtmlẗ قد qd كانت kạnt موجهة mwjhẗ للمستهلك llmsthlk [5][6]. [5][6]. The privacy policy did disclose Bluetooth data collection, but specifics of potential BLE attacks may not have been consumer-facing [5][6].
### ### تَقْيِيمَ tqyym الْأثَرِ ạlạ̉tẖr الْفِعْلِيِّ ạlfʿly ### Actual Impact Assessment
بالنظر bạlnẓr إلى ạ̹ly̱ أن: ạ̉n: - - تم tm تصحيح tṣḥyḥ الثغرة ạltẖgẖrẗ بسرعة bsrʿẗ نسبياً nsbyạaⁿ (في (fy غضون gẖḍwn 3 3 أسابيع) ạ̉sạbyʿ) [3] [3] - - ظل ẓl التطبيق ạltṭbyq اختيارياً ạkẖtyạryạaⁿ وكان wkạn استخدامه ạstkẖdạmh منخفضاً mnkẖfḍạaⁿ (لم (lm يصل yṣl أبداً ạ̉bdạaⁿ إلى ạ̹ly̱ أهداف ạ̉hdạf الحكومة) ạlḥkwmẗ) [5] [5] - - سيحتاج syḥtạj الاستغلال ạlạstgẖlạl إلى ạ̹ly̱ تطور tṭwr تقني tqny يتجاوز ytjạwz المراقبة ạlmrạqbẗ العادية ạlʿạdyẗ [3] [3] - - لا lạ توجد twjd حالات ḥạlạt موثقة mwtẖqẗ للاستغلال llạstgẖlạl للعنف llʿnf المنزلي ạlmnzly [1][3] [1][3] يبدو ybdw أن ạ̉n **الأذى **ạlạ̉dẖy̱ العملي ạlʿmly الفعلي ạlfʿly محدود** mḥdwd** مقارنة mqạrnẗ بما bmạ تُضمّنه tuḍm̃nh المزاعم ạlmzạʿm من mn خطورة. kẖṭwrẗ. Given that:
- The vulnerability was patched relatively quickly (within ~3 weeks) [3]
- The app remained voluntary and had low uptake (never reached government targets) [5]
- The exploitation would require technical sophistication beyond casual surveillance [3]
- No documented cases of exploitation for domestic violence exist [1][3]
The **actual practical harm appears limited** compared to the severity the claim implies.
صحيح جزئياً
5.5
من 10
المزاعم ạlmzạʿm صحيحة ṣḥyḥẗ في fy أن: ạ̉n: (1) (1) كانت kạnt هناك hnạk ثغرة tẖgẖrẗ أمنية ạ̉mnyẗ تقنية tqnyẗ حقيقية ḥqyqyẗ تسمح tsmḥ باستخراج bạstkẖrạj طراز/اسم ṭrạz/ạsm الجهاز، ạljhạz, و(2) w(2) يمكن ymkn استخدام ạstkẖdạm هذه hdẖh المعلومات ạlmʿlwmạt نظرياً nẓryạaⁿ لتتبع lttbʿ الحضور. ạlḥḍwr.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
ومع wmʿ ذلك، dẖlk, فإن fạ̹n المزاعم ạlmzạʿm مُضلِّلة muḍlĩlẗ في: fy: (1) (1) وصف wṣf الثغرة ạltẖgẖrẗ النظرية ạlnẓryẗ كاستغلال kạstgẖlạl موثق mwtẖq للعنف llʿnf المنزلي، ạlmnzly, (2) (2) استخدام ạstkẖdạm "بث" "btẖ" بدقة bdqẗ غير gẖyr كافية، kạfyẗ, و(3) w(3) حذف ḥdẖf أن ạ̉n الثغرة ạltẖgẖrẗ تم tm تصحيحها tṣḥyḥhạ بسرعة bsrʿẗ والإفصاح wạlạ̹fṣạḥ عنها ʿnhạ بمسؤولية. bmsw̉wlyẗ. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
تُقَدِّمُ tqdm الْمَزَاعِمُ ạlmzạʿm أَسْوَأَ ạ̉swạ̉ قُدْرَةِ qdrẗ تِقْنِيَّةٍ tqnyẗ كَمَا kmạ لَو lw كانت kạnt سِينَارْيُوَ synạryw تَهْدِيدِ thdyd فِعْلِيِّ fʿly مَع mʿ اِسْتِغْلَاَلِ ạstgẖlạl مَوْثِقٍ mwtẖq. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
النتيجة النهائية
5.5
من 10
صحيح جزئياً
المزاعم ạlmzạʿm صحيحة ṣḥyḥẗ في fy أن: ạ̉n: (1) (1) كانت kạnt هناك hnạk ثغرة tẖgẖrẗ أمنية ạ̉mnyẗ تقنية tqnyẗ حقيقية ḥqyqyẗ تسمح tsmḥ باستخراج bạstkẖrạj طراز/اسم ṭrạz/ạsm الجهاز، ạljhạz, و(2) w(2) يمكن ymkn استخدام ạstkẖdạm هذه hdẖh المعلومات ạlmʿlwmạt نظرياً nẓryạaⁿ لتتبع lttbʿ الحضور. ạlḥḍwr.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
ومع wmʿ ذلك، dẖlk, فإن fạ̹n المزاعم ạlmzạʿm مُضلِّلة muḍlĩlẗ في: fy: (1) (1) وصف wṣf الثغرة ạltẖgẖrẗ النظرية ạlnẓryẗ كاستغلال kạstgẖlạl موثق mwtẖq للعنف llʿnf المنزلي، ạlmnzly, (2) (2) استخدام ạstkẖdạm "بث" "btẖ" بدقة bdqẗ غير gẖyr كافية، kạfyẗ, و(3) w(3) حذف ḥdẖf أن ạ̉n الثغرة ạltẖgẖrẗ تم tm تصحيحها tṣḥyḥhạ بسرعة bsrʿẗ والإفصاح wạlạ̹fṣạḥ عنها ʿnhạ بمسؤولية. bmsw̉wlyẗ. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
تُقَدِّمُ tqdm الْمَزَاعِمُ ạlmzạʿm أَسْوَأَ ạ̉swạ̉ قُدْرَةِ qdrẗ تِقْنِيَّةٍ tqnyẗ كَمَا kmạ لَو lw كانت kạnt سِينَارْيُوَ synạryw تَهْدِيدِ thdyd فِعْلِيِّ fʿly مَع mʿ اِسْتِغْلَاَلِ ạstgẖlạl مَوْثِقٍ mwtẖq. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
📚 المصادر والاستشهادات (8)
-
1
cvedetails.com
Cvedetails
-
2
nvd.nist.gov
CVE-2020-12860
-
3
github.com
A bluetooth-related vulnerability in some contact tracing apps - alwentiu/COVIDSafe-CVE-2020-12856
GitHub -
4
threadreaderapp.com
Thread by @matthewrdev: The #covidsafe app is now available in Australia However, it's a shame that they have decided not to release the sourr full transparency. Luckily, I'm a curious chap and also a professional mobile developer. So, I've downloaded an…
Threadreaderapp -
5
lthj.qut.edu.au
Lthj Qut Edu
-
6
reddit.com
The heart of the internet -
7
docs.google.com
Privacy issues discovered in the BLE implementation of the COVIDSafe Android app Jim Mussared jim.mussared@gmail.com https://twitter.com/jim_mussared 28/04/2020 Last updated: 15/05/2020 Status: Public. Updates ongoing. Privacy issues discovered in the BLE implementation of the COVIDSafe Andr...
Google Docs -
8
ashurst.com
Australia's first tranche of privacy reforms – a deep dive and why they matter
Ashurst
منهجية التقييم
1-3: خاطئ
غير صحيح من الناحية الواقعية أو ملفق بشكل ضار.
4-6: جزئي
بعض الحقيقة لكن السياق ناقص أو منحرف.
7-9: صحيح غالباً
مشاكل تقنية أو صياغة طفيفة.
10: دقيق
تم التحقق منه بشكل كامل وعادل سياقياً.
المنهجية: يتم تحديد التقييمات من خلال التحقق المتبادل من السجلات الحكومية الرسمية ومنظمات التحقق المستقلة ووثائق المصدر الأولية.