Đúng một phần

Đánh giá: 5.5/10

Báo cáo vấn đề
Coalition
C0050

Tuyên bố

“Đã không đề cập trong chính sách bảo mật của ứng dụng COVIDSafe rằng thông tin về mẫu điện thoại và tên thiết bị (ví dụ: 'iPhone của Mary') được phát qua Bluetooth. Một ví dụ về việc này bị khai thác là kẻ bạo lực gia đình có thể biết được nạn nhân có ở nhà hay không và bạn cùng nhà không có ở đó, mà không cần đặt chân vào tòa nhà.”
COVID An ninh mạng An toàn
Nguồn gốc: Matthew Davis
Đã phân tích: 29 Jan 2026

Nguồn gốc được cung cấp

XÁC MINH THỰC TẾ

Khẳng định cốt lõi chứa nhiều yếu tố kỹ thuật sự kiệt cần xác minh cẩn thận:
The core claim contains multiple technical and factual elements that require careful verification:
 ### Tài liệu CVE Thực Sự Cho Thấy
### What the CVE Documentation Actually Shows
 một lỗ hổng Bluetooth thực sự trong COVIDSafe (Android v1.0.17 trước đó), được ghi nhận **CVE-2020-12860** **CVE-2020-12856** [1][2].
There IS a genuine Bluetooth vulnerability in COVIDSafe (Android v1.0.17 and earlier), documented as **CVE-2020-12860** and **CVE-2020-12856** [1][2].
 Tuy nhiên, cách đặc tả khẳng định về thông tin nào bị lộ một phần chính xác nhưng cần ngữ cảnh quan trọng.
However, the claim's characterization of what information is exposed is partially accurate but requires important context.
 Theo tài liệu kỹ thuật CVE-2020-12860, COVIDSafe qua v1.0.17 "cho phép kẻ tấn công từ xa truy cập thông tin tên mẫu điện thoại thiết bị BLE thể bốn vai trò COVIDSafe sử dụng tất cả chúng" [1]. Điều này cho phép "tái nhận dạng thiết bị, thể nhận dạng tên chủ sở hữu" [1].
According to the CVE-2020-12860 technical documentation, COVIDSafe through v1.0.17 "allows a remote attacker to access phone name and model information because a BLE device can have four roles and COVIDSafe uses all of them" [1].
 Một lỗ hổng riêng, CVE-2020-12856, được phát hiện bởi các nhà nghiên cứu Jim Mussared Alwen Tiu, tả "vấn đề ghép đôi im lặng" nơi "quá trình liên kết liên quan đến việc trao đổi các định danh vĩnh viễn của điện thoại nạn nhân: địa chỉ nhận dạng của thiết bị bluetooth trong điện thoại một khóa hóa gọi Khóa Giải Nhận Dạng (IRK)" [3].
This allows for "re-identification of a device, and potentially identification of the owner's name" [1].
 Bất kỳ định danh nào cũng thể được sử dụng để "theo dõi điện thoại trong thời gian dài" [3].
A separate vulnerability, CVE-2020-12856, discovered by researchers Jim Mussared and Alwen Tiu, describes a "silent pairing issue" where "the bonding process involves exchanges of permanent identifiers of the victim phone: the identity address of the bluetooth device in the phone and a cryptographic key called Identity Resolving Key (IRK)" [3].
 ### Phát Tên Thiết Bị - Cần Làm
Either identifier can be used for "long term tracking of the phone" [3].
 Một chi tiết quan trọng: Theo chuỗi Twitter của nhà nghiên cứu bảo mật Matthew Rocklin (@matthewrdev), "ứng dụng *không* phát tên thiết bị" trong hoạt động tiêu chuẩn của ứng dụng [4].
### Device Name Broadcasting - Clarification Needed
 Thay vào đó, "khi điện thoại khác phát hiện bạn, bạn được nhận dạng bằng địa chỉ Bluetooth chứ không phải tên thiết bị" [4].
A critical detail: According to a Twitter thread by security researcher Matthew Rocklin (@matthewrdev), "the app *does not* broadcast the device name" in the standard operation of the app [4].
 Tuy nhiên, lỗ hổng CVE-2020-12860 cho phép kẻ tấn công trích xuất thông tin mẫu điện thoại tên thiết bị thông qua lạm dụng vai trò BLE, nghĩa tên thiết bị THỂ truy cập được thông qua việc khai thác lỗ hổng này, ngay cả khi không phát trong hoạt động bình thường [1][2].
Instead, "when another phone detects you, you are identified using a Bluetooth address and not a device name" [4].
 ### Công Bố Chính Sách Bảo Mật
However, the CVE-2020-12860 vulnerability allows attackers to extract phone model AND device name information through BLE role misuse, meaning the device name IS accessible through exploitation of this vulnerability, even if not broadcast in normal operation [1][2].
 Về khẳng định rằng điều này không được đề cập trong chính sách bảo mật: Nghiên cứu học thuật của QUT về triển khai COVIDSafe phát hiện rằng chính phủ đã cung cấp Đánh Giá Tác Động Bảo Mật tập trung vào việc thu thập dữ liệu Bluetooth [5].
### Privacy Policy Disclosure
 Tuy nhiên, các chi tiết cụ thể về thông tin nào thể bị trích xuất thông qua lỗ hổng BLE thể không được tả ràng trong tài liệu chính sách bảo mật dành cho người dùng [5].
Regarding the claim that this wasn't mentioned in the privacy policy: The QUT academic research on COVIDSafe implementation found that the government provided a Privacy Impact Assessment focusing on Bluetooth data collection [5].
 Chính sách bảo mật ghi chú rằng "quét Bluetooth thể được sử dụng để thu thập thông tin về vị trí của người dùng" [6], nhưng thể không chi tiết lỗ hổng cụ thể của việc trích xuất tên/mẫu thiết bị [5].
However, the specifics of what information could be extracted through BLE vulnerabilities may not have been explicitly detailed in consumer-facing privacy policy documentation [5].

Bối cảnh thiếu

### Dòng Thời Gian Trạng Thái Lỗi
### Timeline and Patch Status
 Lỗ hổng được báo cáo cho DTA (Bộ Nội Vụ) vào ngày 5 tháng 5 năm 2020, **đã được sửa trong COVIDSafe (Android) v1.0.18** [3]. Ứng dụng được triển khai ngày 26 tháng 4 năm 2020, nghĩa lỗ hổng này tồn tại khoảng 3 tuần trước khi bản [1][3].
The vulnerability was reported to DTA (Department of Home Affairs) on May 5, 2020, and **was fixed in COVIDSafe (Android) v1.0.18** [3].
 Bản được triển khai nhanh chóng sau khi phát hiện [3].
The app was deployed April 26, 2020, meaning this vulnerability existed for approximately 3 weeks before patches were available [1][3].
 ### Khai Thác Bạo Lực Gia Đình - Thuyết so với Thực Tế
The fix was implemented promptly after discovery [3].
 Mặc khẳng định trình bày kịch bản nơi "kẻ bạo lực gia đình thể biết nạn nhân nhà hay không bạn cùng nhà không đó", điều này dường như **lỗ hổng thuyết thay bằng chứng khai thác thực tế** [1][3].
### Domestic Violence Exploitation - Theoretical vs Proven
 Tài liệu CVE thảo luận khả năng kỹ thuật để "theo dõi trong thời gian dài" thông qua trích xuất định danh BLE [3], nhưng không bằng chứng trong các công bố lỗ hổng đã xuất bản, tài liệu học thuật, hoặc báo cáo truyền thông về các trường hợp thực tế nơi lỗ hổng này bị khai thác để theo dõi bạo lực gia đình [2][3]. Đây **mối lo ngại bảo mật hợp lệ** các nhà nghiên cứu đã xác định công bố trách nhiệm, nhưng đặc tả điều đó như một phương pháp khai thác đã biết không các trường hợp được tài liệu một suy diễn vượt qua những bằng chứng cho thấy.
While the claim presents a scenario where "a domestic violence abuser can tell whether the victim is at home and their house-mates are not," this appears to be a **theoretical vulnerability rather than documented evidence of actual exploitation** [1][3].
 ### Độ Chính Xác Kỹ Thuật của "Phát"
The CVE documents discuss the technical capability for "long term tracking" through BLE identifier extraction [3], but there is no evidence in the published vulnerability disclosures, academic literature, or media reporting of actual instances where this vulnerability was exploited for domestic violence tracking [2][3].
 Khẳng định sử dụng từ "phát" không chính xác về mặt kỹ thuật.
This is a **legitimate security concern** that researchers identified and responsibly disclosed, but characterizing it as a known exploitation method without documented instances is an extrapolation beyond what the evidence shows.
 Tên thiết bị không được phát liên tục trong hoạt động bình thường của COVIDSafe.
### Technical Accuracy of "Broadcasting"
 Thay vào đó, chúng bị lộ thông qua lỗ hổng kỹ thuật BLE (lạm dụng vai trò) cho phép kẻ tấn công trích xuất thông tin này từ ngăn xếp Bluetooth của thiết bị [1][2]. Đây một sự khác biệt ý nghĩa ảnh hưởng đến hình đe dọa—kẻ tấn công sẽ cần chủ động thực hiện khai thác kỹ thuật, không chỉ đơn giản trong phạm vi Bluetooth [3].
The claim uses the word "broadcast" which is technically imprecise.

Đánh giá độ tin cậy nguồn

Nguồn gốc một **Google Doc** không tác giả xác định, liên kết tổ chức, hoặc thông tin xuất bản được liệt trong tệp khẳng định [7].
The original source is a **Google Doc** with no identified author, institutional affiliation, or publication credentials listed in the claim file [7].
 Không quyền truy cập để xem tài liệu đầy đủ, việc đánh giá độ tin cậy hạn chế.
Without access to view the full document, assessing its credibility is limited.
 Tuy nhiên, khẳng định tham chiếu đến các lỗ hổng bảo mật hợp lệ (CVE-2020-12860 CVE-2020-12856) được tài liệu đầy đủ trong các nguồn chính thức.
However, the claim does reference legitimate security vulnerabilities (CVE-2020-12860 and CVE-2020-12856) that are well-documented in official sources.
 Các công bố CVE bản nghiên cứu học thuật từ các nguồn đáng tin cậy: - **CVE-2020-12860**: Xuất bản bởi MITRE/NVD (Cơ Sở Dữ Liệu Lỗ Hổng Quốc Gia), theo dõi lỗ hổng chính thức [1] - **CVE-2020-12856**: Được phát hiện công bố bởi Jim Mussared (George Robotics) Alwen Tiu (ANU), xuất bản trên GitHub với tài liệu kỹ thuật [3] - **Nghiên cứu học thuật QUT**: Bài báo đã qua bình duyệt về triển khai COVIDSafe từ Đại học Công nghệ Queensland [5] Các nguồn này các công bố kỹ thuật đáng tin cậy, không phải nguồn đảng phái.
The underlying CVE disclosures and academic research are from credible sources: - **CVE-2020-12860**: Published by MITRE/NVD (National Vulnerability Database), official vulnerability tracking [1] - **CVE-2020-12856**: Discovered and disclosed by Jim Mussared (George Robotics) and Alwen Tiu (ANU), published on GitHub with technical documentation [3] - **QUT Academic Research**: Peer-reviewed article on COVIDSafe implementation from Queensland University of Technology [5] These sources are credible technical disclosures, not partisan sources.
⚖️

So sánh với Labor

**Liệu Labor thất bại tương đương về quyền riêng công nghệ không?** Tìm kiếm đã thực hiện: "Labor government technology privacy failures contact tracing" Sự tham gia của Labor với công nghệ truy vết tiếp xúc bị hạn chế trong giai đoạn này, chính phủ Coalition nắm quyền (2013-2022) phát triển COVIDSafe.
**Did Labor have equivalent technology privacy failures?** Search conducted: "Labor government technology privacy failures contact tracing" Labor's involvement with contact tracing technology was limited during this period, as the Coalition government held power (2013-2022) and developed COVIDSafe.
 Labor vị thế đối lập không phát triển ứng dụng truy vết tiếp xúc thay thế [8].
Labor was in opposition and did not develop an alternative contact tracing app [8].
 Tuy nhiên, các mối lo ngại rộng hơn về quyền riêng công nghệ tồn tại cả hai đảng: - Cả chính phủ Labor Coalition đều đối mặt với chỉ trích về các biện pháp bảo vệ quyền riêng không đầy đủ trong các dịch vụ kỹ thuật số của chính phủ [8] - Các nỗ lực cải cách quyền riêng Úc vấn đề đa đảng, với các lo ngại được nêu về thực tiễn xử dữ liệu của chính phủ nói chung, không đặc thù cho một đảng [8] - Các vấn đề khung quyền riêng rộng hơn đòi hỏi luật COVIDSafe đặc biệt hệ thống cho luật quyền riêng phân mảnh của Úc, không độc đáo cho triển khai Coalition [5] Về bản, không tương đương Labor trực tiếp Labor không nắm chính phủ trong đại dịch COVID-19 không phát triển các ứng dụng truy vết tiếp xúc.
However, broader technology privacy concerns existed across both parties: - Both Labor and Coalition governments have faced criticism for inadequate privacy protections in digital government services [8] - Privacy reform efforts in Australia have been cross-party issues, with concerns raised about government data handling practices generally, not specific to one party [8] - The broader privacy framework issues that necessitated special COVIDSafe legislation are systemic to Australia's fragmented privacy law regime, not unique to Coalition implementation [5] In essence, there is no direct Labor equivalent because Labor was not in government during the COVID-19 pandemic and did not develop contact tracing apps.
🌐

Quan điểm cân bằng

### Lỗ Hổng Kỹ Thuật Hợp Lệ
### The Legitimate Technical Vulnerability
 Khẳng định **đúng rằng một lỗ hổng kỹ thuật thực sự tồn tại** trong COVIDSafe thể thuyết trích xuất thông tin mẫu tên thiết bị, thông tin này thể được sử dụng để theo dõi vị trí/sự hiện diện của ai đó [1][3].
The claim is **correct that a genuine technical vulnerability existed** in COVIDSafe that could theoretically expose device model and name information, and that this information could potentially be used to track someone's location/presence [1][3].
 Lỗ hổng thật, được tài liệu bởi các nhà nghiên cứu bảo mật đáng tin cậy, được công bố trách nhiệm [3].
The vulnerability was real, documented by credible security researchers, and responsibly disclosed [3].
 ### Phản ứng của Chính Phủ
### The Government's Response
 Một cách tích cực, Chính phủ Úc đã hành động trên công bố bằng cách phát hành bản (v1.0.18) trong khoảng 3 tuần sau khi được thông báo [3]. Ứng dụng cũng bao gồm các biện pháp bảo vệ quyền riêng bổ sung so với các ứng dụng tương đương như TraceTogether của Singapore, bao gồm các hình phạt hình sự cho việc sử dụng dữ liệu trái phép [5].
Positively, the Australian Government acted on the disclosure by releasing a patch (v1.0.18) within approximately 3 weeks of being notified [3].
 ### Khẳng Định Phóng Đại Về Khai Thác Thực Tế
The app also included additional privacy protections compared to comparable apps like Singapore's TraceTogether, including criminal penalties for unauthorized data use [5].
 Bước nhảy từ "một lỗ hổng kỹ thuật tồn tại thể thuyết lộ thông tin thiết bị" đến "kẻ bạo lực gia đình thể khai thác điều này" không được bằng chứng hỗ trợ.
### Overstated Claims About Practical Exploitation
 Mặc rủi ro thuyết hợp lệ cho các khuyến cáo bảo mật, khẳng định khai thác được tài liệu không bằng chứng sai lệch [1][3][7].
The leap from "a technical vulnerability exists that theoretically could expose device information" to "domestic violence abusers can exploit this" is not supported by evidence.
 ### Vấn Đề Công Bố Chính Sách Bảo Mật
While the theoretical risk is valid for security advisories, claiming documented exploitation without evidence is misleading [1][3][7].
 Khẳng định về công bố chính sách bảo mật một phần hợp lệ.
### Privacy Policy and Disclosure Issue
 Chính phủ thể không chi tiết ràng các rủi ro lỗ hổng BLE cho người dùng chung, mặc các chuyên gia bảo mật sẽ mong đợi các rủi ro như vậy một phần của hình đe dọa bảo mật [5].
The claim about privacy policy disclosure is partially valid.
 Chính sách bảo mật đã công bố việc thu thập dữ liệu Bluetooth, nhưng các chi tiết của các cuộc tấn công BLE tiềm năng thể không dành cho người dùng [5][6].
The government may not have explicitly detailed BLE vulnerability risks to general users, though privacy professionals would expect such risks to be part of security threat modeling [5].
 ### Đánh Giá Tác Động Thực Tế
The privacy policy did disclose Bluetooth data collection, but specifics of potential BLE attacks may not have been consumer-facing [5][6].
 Với các yếu tố: - Lỗ hổng được tương đối nhanh (trong ~3 tuần) [3] - Ứng dụng vẫn tự nguyện số người dùng thấp (không bao giờ đạt mục tiêu chính phủ) [5] - Việc khai thác đòi hỏi sự tinh vi kỹ thuật vượt qua giám sát thông thường [3] - Không các trường hợp khai thác cho bạo lực gia đình được tài liệu [1][3] **Tác hại thực tế dường như hạn chế** so với mức độ nghiêm trọng khẳng định ngụ ý.
### Actual Impact Assessment

ĐÚNG MỘT PHẦN

5.5

/ 10

Khẳng định đúng rằng: (1) một lỗ hổng kỹ thuật thực sự tồn tại cho phép trích xuất tên/mẫu thiết bị, (2) thông tin này thể thuyết được sử dụng để theo dõi sự hiện diện.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
 Tuy nhiên, khẳng định sai lệch ở: (1) đặc tả lỗ hổng thuyết như khai thác được tài liệu cho bạo lực gia đình, (2) sử dụng "phát" không chính xác, (3) bỏ qua rằng lỗ hổng đã được nhanh chóng công bố trách nhiệm.
However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
 Khẳng định trình bày khả năng kỹ thuật trường hợp xấu nhất như thể đó kịch bản đe dọa thực tế với khai thác được tài liệu.
The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.

📚 NGUỒN & TRÍCH DẪN (8)

  1. 1
    cvedetails.com

    cvedetails.com

    Cvedetails

  2. 2
    nvd.nist.gov

    nvd.nist.gov

    CVE-2020-12860

  3. 3
    github.com

    github.com

    A bluetooth-related vulnerability in some contact tracing apps - alwentiu/COVIDSafe-CVE-2020-12856

    GitHub
  4. 4
    threadreaderapp.com

    threadreaderapp.com

    Thread by @matthewrdev: The #covidsafe app is now available in Australia However, it's a shame that they have decided not to release the sourr full transparency. Luckily, I'm a curious chap and also a professional mobile developer. So, I've downloaded an…

    Threadreaderapp
  5. 5
    lthj.qut.edu.au

    lthj.qut.edu.au

    Lthj Qut Edu

  6. 6
    reddit.com

    reddit.com

    The heart of the internet
  7. 7
    docs.google.com

    docs.google.com

    Privacy issues discovered in the BLE implementation of the COVIDSafe Android app Jim Mussared jim.mussared@gmail.com https://twitter.com/jim_mussared 28/04/2020 Last updated: 15/05/2020 Status: Public. Updates ongoing. Privacy issues discovered in the BLE implementation of the COVIDSafe Andr...

    Google Docs
  8. 8
    ashurst.com

    ashurst.com

    Australia's first tranche of privacy reforms – a deep dive and why they matter

    Ashurst

Phương pháp thang đánh giá

1-3: SAI

Sai sự thật hoặc bịa đặt ác ý.

4-6: MỘT PHẦN

Có phần đúng nhưng thiếu hoặc lệch bối cảnh.

7-9: PHẦN LỚN ĐÚNG

Vấn đề kỹ thuật nhỏ hoặc cách diễn đạt.

10: CHÍNH XÁC

Được xác minh hoàn hảo và công bằng về mặt bối cảnh.

Phương pháp: Xếp hạng được xác định thông qua đối chiếu hồ sơ chính phủ chính thức, các tổ chức kiểm chứng sự thật độc lập và tài liệu nguồn gốc.

Previous: C0049 Next: C0051