C0050
Klaim
“Gagal menyebutkan dalam kebijakan privasi aplikasi COVIDSafe bahwa informasi tentang model ponsel dan nama perangkat (misalnya 'iPhone Mary') disiarkan melalui Bluetooth. Contoh eksploitasi ini adalah bahwa pelaku kekerasan rumah tangga dapat mengetahui apakah korban berada di rumah dan teman sekamarnya tidak, tanpa menginjakkan kaki di dalam gedung.”
Sumber Asli: Matthew Davis
Dianalisis: 29 Jan 2026
Sumber Asli
✅ VERIFIKASI FAKTA
Klaim inti berisi banyak elemen teknis dan faktual yang memerlukan verifikasi cermat:
The core claim contains multiple technical and factual elements that require careful verification:
### Apa yang Sebenarnya Ditunjukkan oleh Dokumentasi CVE ### What the CVE Documentation Actually Shows
Memang ADA kerentanan Bluetooth yang asli dalam COVIDSafe (Android v1.0.17 dan sebelumnya), didokumentasikan sebagai **CVE-2020-12860** dan **CVE-2020-12856** [1][2]. There IS a genuine Bluetooth vulnerability in COVIDSafe (Android v1.0.17 and earlier), documented as **CVE-2020-12860** and **CVE-2020-12856** [1][2].
Namun, karakterisasi klaim tentang informasi apa yang diekspos secara akurat sebagian namun memerlukan konteks penting. However, the claim's characterization of what information is exposed is partially accurate but requires important context.
Sesuai dokumentasi teknis CVE-2020-12860, COVIDSafe hingga v1.0.17 "memungkinkan penyerang jarak jauh mengakses nama telepon dan informasi model karena perangkat BLE dapat memiliki empat peran dan COVIDSafe menggunakan semuanya" [1]. According to the CVE-2020-12860 technical documentation, COVIDSafe through v1.0.17 "allows a remote attacker to access phone name and model information because a BLE device can have four roles and COVIDSafe uses all of them" [1].
Ini memungkinkan "re-identifikasi perangkat, dan berpotensi identifikasi nama pemiliknya" [1]. This allows for "re-identification of a device, and potentially identification of the owner's name" [1].
Kerentanan terpisah, CVE-2020-12856, yang ditemukan oleh para peneliti Jim Mussared dan Alwen Tiu, menggambarkan "masalah pasangan diam" di mana "proses pemasangan melibatkan pertukaran pengidentifikasi permanen ponsel korban: alamat identitas perangkat bluetooth di ponsel dan kunci kriptografi yang disebut Identity Resolving Key (IRK)" [3]. A separate vulnerability, CVE-2020-12856, discovered by researchers Jim Mussared and Alwen Tiu, describes a "silent pairing issue" where "the bonding process involves exchanges of permanent identifiers of the victim phone: the identity address of the bluetooth device in the phone and a cryptographic key called Identity Resolving Key (IRK)" [3].
Kedua pengidentifikasi tersebut dapat digunakan untuk "pelacakan jangka panjang ponsel" [3]. Either identifier can be used for "long term tracking of the phone" [3].
### Penyiaran Nama Perangkat - Klarifikasi Diperlukan ### Device Name Broadcasting - Clarification Needed
Detail penting: Menurut utas Twitter oleh peneliti keamanan Matthew Rocklin (@matthewrdev), "aplikasi *tidak* menyiarkan nama perangkat" dalam operasi standar aplikasi [4]. A critical detail: According to a Twitter thread by security researcher Matthew Rocklin (@matthewrdev), "the app *does not* broadcast the device name" in the standard operation of the app [4].
Sebaliknya, "ketika ponsel lain mendeteksi Anda, Anda diidentifikasi menggunakan alamat Bluetooth dan bukan nama perangkat" [4]. Instead, "when another phone detects you, you are identified using a Bluetooth address and not a device name" [4].
Namun, kerentanan CVE-2020-12860 memungkinkan penyerang mengekstrak informasi model ponsel DAN nama perangkat melalui penyalahgunaan peran BLE, artinya nama perangkat MEMANG dapat diakses melalui eksploitasi kerentanan ini, meskipun tidak disiarkan dalam operasi normal [1][2]. However, the CVE-2020-12860 vulnerability allows attackers to extract phone model AND device name information through BLE role misuse, meaning the device name IS accessible through exploitation of this vulnerability, even if not broadcast in normal operation [1][2].
### Pengungkapan Kebijakan Privasi ### Privacy Policy Disclosure
Mengenai klaim bahwa ini tidak disebutkan dalam kebijakan privasi: Penelitian akademis QUT tentang implementasi COVIDSafe menemukan bahwa pemerintah menyediakan Penilaian Dampak Privasi yang berfokus pada pengumpulan data Bluetooth [5]. Regarding the claim that this wasn't mentioned in the privacy policy: The QUT academic research on COVIDSafe implementation found that the government provided a Privacy Impact Assessment focusing on Bluetooth data collection [5].
Namun, spesifikasi tentang informasi apa yang dapat diekstrak melalui kerentanan BLE mungkin tidak secara eksplisit dijelaskan dalam dokumentasi kebijakan privasi yang ditujukan untuk konsumen [5]. However, the specifics of what information could be extracted through BLE vulnerabilities may not have been explicitly detailed in consumer-facing privacy policy documentation [5].
Kebijakan privasi memang mencatat bahwa "pemindaian Bluetooth dapat digunakan untuk mengumpulkan informasi tentang lokasi pengguna" [6], tetapi mungkin tidak merinci kerentanan spesifik ekstraksi nama/model perangkat [5]. The privacy policy did note that "a Bluetooth scan can be used to gather information about the location of the user" [6], but may not have detailed the specific vulnerability of device name/model extraction [5].
Konteks yang Hilang
### Garis Waktu dan Status Perbaikan
### Timeline and Patch Status
Kerentanan dilaporkan ke DTA (Departemen Dalam Negeri) pada 5 Mei 2020, dan **diperbaiki dalam COVIDSafe (Android) v1.0.18** [3]. The vulnerability was reported to DTA (Department of Home Affairs) on May 5, 2020, and **was fixed in COVIDSafe (Android) v1.0.18** [3].
Aplikasi disebarkan pada 26 April 2020, artinya kerentanan ini ada selama sekitar 3 minggu sebelum perbaikan tersedia [1][3]. The app was deployed April 26, 2020, meaning this vulnerability existed for approximately 3 weeks before patches were available [1][3].
Perbaikan dilaksanakan dengan cepat setelah penemuan [3]. The fix was implemented promptly after discovery [3].
### Eksploitasi Kekerasan Rumah Tangga - Teoritis vs Terbukti ### Domestic Violence Exploitation - Theoretical vs Proven
Meskipun klaim menyajikan skenario di mana "pelaku kekerasan rumah tangga dapat mengetahui apakah korban berada di rumah dan teman sekamarnya tidak," ini tampaknya adalah **kerentanan teoritis daripada bukti eksploitasi aktual** [1][3]. While the claim presents a scenario where "a domestic violence abuser can tell whether the victim is at home and their house-mates are not," this appears to be a **theoretical vulnerability rather than documented evidence of actual exploitation** [1][3].
Dokumen CVE membahas kemampuan teknis untuk "pelacakan jangka panjang" melalui ekstraksi pengidentifikasi BLE [3], tetapi tidak ada bukti dalam pengungkapan kerentanan yang dipublikasikan, literatur akademis, atau pelaporan media tentang contoh nyata di mana kerentanan ini dieksploitasi untuk pelacakan kekerasan rumah tangga [2][3]. The CVE documents discuss the technical capability for "long term tracking" through BLE identifier extraction [3], but there is no evidence in the published vulnerability disclosures, academic literature, or media reporting of actual instances where this vulnerability was exploited for domestic violence tracking [2][3].
Ini adalah **keprihatinan keamanan yang sah** yang diidentifikasi oleh para peneliti dan diungkapkan secara bertanggung jawab, tetapi mengkarakterisasikannya sebagai metode eksploitasi yang diketahui tanpa bukti dokumentasi adalah ekstrapolasi di luar apa yang ditunjukkan oleh bukti. This is a **legitimate security concern** that researchers identified and responsibly disclosed, but characterizing it as a known exploitation method without documented instances is an extrapolation beyond what the evidence shows.
### Akurasi Teknis "Penyiaran" ### Technical Accuracy of "Broadcasting"
Klaim menggunakan kata "siarkan" yang secara teknis tidak tepat. The claim uses the word "broadcast" which is technically imprecise.
Nama perangkat tidak disiarkan secara terus-menerus dalam operasi normal COVIDSafe. Device names are not continuously broadcast in COVIDSafe's normal operation.
Sebaliknya, mereka terpapar melalui kerentanan teknis BLE (penyalahgunaan peran) yang memungkinkan penyerang mengekstrak informasi ini dari tumpukan Bluetooth perangkat [1][2]. Rather, they are exposed through BLE technical vulnerabilities (role misuse) that allow attackers to extract this information from the device's Bluetooth stack [1][2].
Ini adalah perbedaan yang bermakna karena mempengaruhi pemodelan ancaman—penyerang perlu secara aktif melakukan eksploitasi teknis, bukan sekadar berada dalam jangkauan Bluetooth [3]. This is a meaningful distinction because it affects threat modeling—an attacker would need to actively conduct a technical exploit, not merely be in Bluetooth range [3].
Penilaian Kredibilitas Sumber
Sumber asli adalah **Google Doc** tanpa pengenal penulis, afiliasi institusional, atau kredensial publikasi yang tercantum dalam file klaim [7].
The original source is a **Google Doc** with no identified author, institutional affiliation, or publication credentials listed in the claim file [7].
Tanpa akses untuk melihat dokumen lengkap, menilai kredibilitasnya terbatas. Without access to view the full document, assessing its credibility is limited.
Namun, klaim memang merujuk pada kerentanan keamanan yang sah (CVE-2020-12860 dan CVE-2020-12856) yang didokumentasikan dengan baik dalam sumber resmi. However, the claim does reference legitimate security vulnerabilities (CVE-2020-12860 and CVE-2020-12856) that are well-documented in official sources.
Pengungkapan CVE dan penelitian akademis yang mendasarinya berasal dari sumber yang kredibel: - **CVE-2020-12860**: Diterbitkan oleh MITRE/NVD (National Vulnerability Database), pelacakan kerentanan resmi [1] - **CVE-2020-12856**: Ditemukan dan diungkapkan oleh Jim Mussared (George Robotics) dan Alwen Tiu (ANU), dipublikasikan di GitHub dengan dokumentasi teknis [3] - **Penelitian Akademis QUT**: Artikel peer-review tentang implementasi COVIDSafe dari Queensland University of Technology [5] Sumber-sumber ini adalah pengungkapan teknis yang kredibel, bukan sumber partisan. The underlying CVE disclosures and academic research are from credible sources:
- **CVE-2020-12860**: Published by MITRE/NVD (National Vulnerability Database), official vulnerability tracking [1]
- **CVE-2020-12856**: Discovered and disclosed by Jim Mussared (George Robotics) and Alwen Tiu (ANU), published on GitHub with technical documentation [3]
- **QUT Academic Research**: Peer-reviewed article on COVIDSafe implementation from Queensland University of Technology [5]
These sources are credible technical disclosures, not partisan sources.
⚖️
Perbandingan Labor
**Apakah Labor memiliki kegagalan privasi teknologi yang setara?** Pencarian dilakukan: "Labor government technology privacy failures contact tracing" Keterlibatan Labor dengan teknologi pelacakan kontak terbatas selama periode ini, karena pemerintah Koalisi berkuasa (2013-2022) dan mengembangkan COVIDSafe.
**Did Labor have equivalent technology privacy failures?**
Search conducted: "Labor government technology privacy failures contact tracing"
Labor's involvement with contact tracing technology was limited during this period, as the Coalition government held power (2013-2022) and developed COVIDSafe.
Labor berada dalam oposisi dan tidak mengembangkan aplikasi pelacakan kontak alternatif [8]. Labor was in opposition and did not develop an alternative contact tracing app [8].
Namun, kekhawatiran privasi teknologi yang lebih luas ada di kedua partai: - Kedua pemerintah Labor dan Koalisi telah menghadapi kritik atas perlindungan privasi yang tidak memadai dalam layanan pemerintah digital [8] - Upaya reformasi privasi di Australia telah menjadi isu lintas partai, dengan kekhawatiran yang diangkat tentang praktik penanganan data pemerintah secara umum, tidak spesifik untuk satu partai [8] - Masalah kerangka privasi yang lebih luas yang memerlukan legislasi COVIDSafe khusus adalah sistemik pada rezim hukum privasi Australia yang terfragmentasi, tidak unik untuk implementasi Koalisi [5] Intinya, tidak ada padanan Labor yang langsung karena Labor tidak berada dalam pemerintahan selama pandemi COVID-19 dan tidak mengembangkan aplikasi pelacakan kontak. However, broader technology privacy concerns existed across both parties:
- Both Labor and Coalition governments have faced criticism for inadequate privacy protections in digital government services [8]
- Privacy reform efforts in Australia have been cross-party issues, with concerns raised about government data handling practices generally, not specific to one party [8]
- The broader privacy framework issues that necessitated special COVIDSafe legislation are systemic to Australia's fragmented privacy law regime, not unique to Coalition implementation [5]
In essence, there is no direct Labor equivalent because Labor was not in government during the COVID-19 pandemic and did not develop contact tracing apps.
🌐
Perspektif Seimbang
### Kerentanan Teknis yang Sah
### The Legitimate Technical Vulnerability
Klaim **benar bahwa kerentanan teknis yang asli ada** dalam COVIDSafe yang secara teoritis dapat mengekspos informasi model dan nama perangkat, dan bahwa informasi ini berpotensi dapat digunakan untuk melacak keberadaan/seseorang [1][3]. The claim is **correct that a genuine technical vulnerability existed** in COVIDSafe that could theoretically expose device model and name information, and that this information could potentially be used to track someone's location/presence [1][3].
Kerentanan itu nyata, didokumentasikan oleh peneliti keamanan yang kredibel, dan diungkapkan secara bertanggung jawab [3]. The vulnerability was real, documented by credible security researchers, and responsibly disclosed [3].
### Tanggapan Pemerintah ### The Government's Response
Secara positif, Pemerintah Australia bertindak atas pengungkapan dengan merilis perbaikan (v1.0.18) dalam waktu sekitar 3 minggu setelah diberitahu [3]. Positively, the Australian Government acted on the disclosure by releasing a patch (v1.0.18) within approximately 3 weeks of being notified [3].
Aplikasi ini juga mencakup perlindungan privasi tambahan dibandingkan aplikasi sebanding seperti TraceTogether Singapura, termasuk hukuman pidana untuk penggunaan data yang tidak sah [5]. The app also included additional privacy protections compared to comparable apps like Singapore's TraceTogether, including criminal penalties for unauthorized data use [5].
### Klaim yang Dilebih-lebihkan tentang Eksploitasi Praktis ### Overstated Claims About Practical Exploitation
Loncatan dari "ada kerentanan teknis yang secara teoritis dapat mengekspos informasi perangkat" ke "pelaku kekerasan rumah tangga dapat mengeksploitasi ini" tidak didukung oleh bukti. The leap from "a technical vulnerability exists that theoretically could expose device information" to "domestic violence abusers can exploit this" is not supported by evidence.
Meskipun risiko teoritis valid untuk penasehat keamanan, mengklaim eksploitasi dokumentasi tanpa bukti menyesatkan [1][3][7]. While the theoretical risk is valid for security advisories, claiming documented exploitation without evidence is misleading [1][3][7].
### Masalah Kebijakan Privasi dan Pengungkapan ### Privacy Policy and Disclosure Issue
Klaim tentang pengungkapan kebijakan privasi valid sebagian. The claim about privacy policy disclosure is partially valid.
Pemerintah mungkin tidak secara eksplisit merinci risiko kerentanan BLE kepada pengguna umum, meskipun profesional privasi akan mengharapkan risiko tersebut menjadi bagian dari pemodelan ancaman keamanan [5]. The government may not have explicitly detailed BLE vulnerability risks to general users, though privacy professionals would expect such risks to be part of security threat modeling [5].
Kebijakan privasi memang mengungkapkan pengumpulan data Bluetooth, tetapi spesifikasi serangan BLE yang mungkin terjadi mungkin tidak dihadapkan kepada konsumen [5][6]. The privacy policy did disclose Bluetooth data collection, but specifics of potential BLE attacks may not have been consumer-facing [5][6].
### Penilaian Dampak Aktual ### Actual Impact Assessment
Mengingat bahwa: - Kerentanan diperbaiki relatif cepat (dalam waktu ~3 minggu) [3] - Aplikasi tetap bersifat sukarela dan memiliki adopsi rendah (tidak pernah mencapai target pemerintah) [5] - Eksploitasi akan memerlukan kecanggihan teknis di luar pengawasan biasa [3] - Tidak ada kasus terdokumentasi tentang eksploitasi untuk kekerasan rumah tangga [1][3] **Kerugian praktis aktual tampak terbatas** dibandingkan dengan keseriusan yang disiratkan klaim. Given that:
- The vulnerability was patched relatively quickly (within ~3 weeks) [3]
- The app remained voluntary and had low uptake (never reached government targets) [5]
- The exploitation would require technical sophistication beyond casual surveillance [3]
- No documented cases of exploitation for domestic violence exist [1][3]
The **actual practical harm appears limited** compared to the severity the claim implies.
SEBAGIAN BENAR
5.5
/ 10
Klaim benar bahwa: (1) kerentanan teknis yang asli ada yang memungkinkan ekstraksi nama/model perangkat, dan (2) informasi ini secara teoritis dapat digunakan untuk melacak kehadiran.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
Namun, klaim menyesatkan dalam: (1) mengkarakterisasikan kerentanan teoritis sebagai eksploitasi dokumentasi untuk kekerasan rumah tangga, (2) menggunakan "siarkan" secara tidak tepat, dan (3) menghilangkan bahwa kerentanan diperbaiki dengan cepat dan diungkapkan secara bertanggung jawab. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
Klaim menyajikan kemampuan teknis skenario terburuk seolah-olah itu adalah skenario ancaman aktual dengan eksploitasi yang didokumentasikan. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
Skor Akhir
5.5
/ 10
SEBAGIAN BENAR
Klaim benar bahwa: (1) kerentanan teknis yang asli ada yang memungkinkan ekstraksi nama/model perangkat, dan (2) informasi ini secara teoritis dapat digunakan untuk melacak kehadiran.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
Namun, klaim menyesatkan dalam: (1) mengkarakterisasikan kerentanan teoritis sebagai eksploitasi dokumentasi untuk kekerasan rumah tangga, (2) menggunakan "siarkan" secara tidak tepat, dan (3) menghilangkan bahwa kerentanan diperbaiki dengan cepat dan diungkapkan secara bertanggung jawab. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
Klaim menyajikan kemampuan teknis skenario terburuk seolah-olah itu adalah skenario ancaman aktual dengan eksploitasi yang didokumentasikan. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
📚 SUMBER DAN KUTIPAN (8)
-
1
cvedetails.com
Cvedetails
-
2
nvd.nist.gov
CVE-2020-12860
-
3
github.com
A bluetooth-related vulnerability in some contact tracing apps - alwentiu/COVIDSafe-CVE-2020-12856
GitHub -
4
threadreaderapp.com
Thread by @matthewrdev: The #covidsafe app is now available in Australia However, it's a shame that they have decided not to release the sourr full transparency. Luckily, I'm a curious chap and also a professional mobile developer. So, I've downloaded an…
Threadreaderapp -
5
lthj.qut.edu.au
Lthj Qut Edu
-
6
reddit.com
The heart of the internet -
7
docs.google.com
Privacy issues discovered in the BLE implementation of the COVIDSafe Android app Jim Mussared jim.mussared@gmail.com https://twitter.com/jim_mussared 28/04/2020 Last updated: 15/05/2020 Status: Public. Updates ongoing. Privacy issues discovered in the BLE implementation of the COVIDSafe Andr...
Google Docs -
8
ashurst.com
Australia's first tranche of privacy reforms – a deep dive and why they matter
Ashurst
Metodologi Skala Penilaian
1-3: SALAH
Secara faktual salah atau fabrikasi jahat.
4-6: SEBAGIAN
Ada kebenaran tetapi konteks hilang atau menyimpang.
7-9: SEBAGIAN BESAR BENAR
Masalah teknis kecil atau masalah redaksi.
10: AKURAT
Terverifikasi sempurna dan adil secara kontekstual.
Metodologi: Penilaian ditentukan melalui referensi silang catatan pemerintah resmi, organisasi pemeriksa fakta independen, dan dokumen sumber primer.