C0195
主張
“在部署 COVIDSafe 應用程式時忽視了安全最佳實踐,選擇不執行漏洞賞金計畫,且儘管曾承諾卻未即時公開原始碼,導致多個漏洞被研究人員發現的時間遠遠晚於應有的時機。”
原始來源: Matthew Davis
原始來源
✅ 事實查核
澳洲 ào zhōu 政府 zhèng fǔ 在 zài COVIDSafe COVIDSafe 應用 yīng yòng 程式 chéng shì 上 shàng 忽視 hū shì 安全 ān quán 最佳 zuì jiā 實踐 shí jiàn 的 de 聲稱 shēng chēng * * * * 基本 jī běn 屬實 shǔ shí * * * * , , 但 dàn 需要 xū yào 在 zài 時間點 shí jiān diǎn 和 hé 背景 bèi jǐng 上 shàng 進行 jìn xíng 重要 zhòng yào 澄清 chéng qīng 。 。
The claim that the Australian government ignored security best practices with the COVIDSafe app is **substantially accurate**, though it requires important clarification regarding timing and context.
**Delayed Response to Vulnerabilities:** Within hours of COVIDSafe's release on April 26, 2020, security researcher Jim Mussared discovered multiple privacy issues in the Android version by 1:19am on April 27 [1].
* * * * 對 duì 漏洞 lòu dòng 的 de 延遲 yán chí 回應 huí yīng : : * * * * COVIDSafe COVIDSafe 於 yú 2020 2020 年 nián 4 4 月 yuè 26 26 日 rì 發布後數 fā bù hòu shù 小時 xiǎo shí 內 nèi , , 安全 ān quán 研究 yán jiū 人員 rén yuán Jim Jim Mussared Mussared 即 jí 在 zài 4 4 月 yuè 27 27 日 rì 凌晨 líng chén 1 1 : : 19 19 發現 fā xiàn Android Android 版本 bǎn běn 存在 cún zài 多個 duō gè 隱私 yǐn sī 問題 wèn tí [ [ 1 1 ] ] 。 。 He detailed these vulnerabilities in a comprehensive report and emailed the Department of Health, Digital Transformation Agency (DTA), Australian Signals Directorate (ASD), and the Australian Cyber Security Centre (ACSC) on April 27-28 [1].
他 tā 在 zài 一份 yī fèn 詳盡 xiáng jǐn 的 de 報告 bào gào 中 zhōng 記錄 jì lù 了 le 這些 zhè xiē 漏洞 lòu dòng , , 並 bìng 於 yú 4 4 月 yuè 27 27 至 zhì 28 28 日發 rì fā 送 sòng 電子 diàn zi 郵件 yóu jiàn 給衛 gěi wèi 生部 shēng bù 、 、 數位 shù wèi 轉型 zhuǎn xíng 局 jú ( ( DTA DTA ) ) 、 、 澳洲 ào zhōu 信號局 xìn hào jú ( ( ASD ASD ) ) 及 jí 澳洲 ào zhōu 網路 wǎng lù 安全 ān quán 中心 zhōng xīn ( ( ACSC ACSC ) ) [ [ 1 1 ] ] 。 。 However, Mussared only received a single-line response from the DTA a week later on May 5, and this response came only after media began making inquiries [1].
然而 rán ér , , Mussared Mussared 直到 zhí dào 一週 yī zhōu 後 hòu 的 de 5 5 月 yuè 5 5 日才 rì cái 收到 shōu dào DTA DTA 僅有 jǐn yǒu 一行 yī xíng 的 de 回覆 huí fù , , 且 qiě 這次 zhè cì 回覆 huí fù 是 shì 在 zài 媒體 méi tǐ 開始詢 kāi shǐ xún 問後才 wèn hòu cái 發出 fā chū 的 de [ [ 1 1 ] ] 。 。 In comparison, Mussared confirmed that he was able to reach Singapore's team (which developed TraceTogether, the app Australia modeled COVIDSafe on) within hours and had some issues fixed by them [1].
**No Formal Bug Bounty Program:** The government did not establish a formal bug bounty program for COVIDSafe.
相比之下 xiāng bǐ zhī xià , , Mussared Mussared 確認 què rèn 他 tā 能 néng 在 zài 數小時 shù xiǎo shí 內 nèi 聯 lián 繫 xì 到 dào 新加坡 xīn jiā pō 團隊 tuán duì ( ( 該團隊 gāi tuán duì 開發 kāi fā 了 le 澳洲 ào zhōu COVIDSafe COVIDSafe 所 suǒ 參考 cān kǎo 的 de TraceTogether TraceTogether 應用 yīng yòng 程式 chéng shì ) ) , , 且 qiě 對方 duì fāng 已修 yǐ xiū 復 fù 部分 bù fèn 問題 wèn tí [ [ 1 1 ] ] 。 。 According to cybersecurity experts quoted in authoritative sources, "the best practices would be a formal disclosure program and a bug bounty program, and a commitment to getting the bugs fixed" [1].
* * * * 未 wèi 設立 shè lì 正式 zhèng shì 漏洞 lòu dòng 賞金計畫 shǎng jīn jì huà : : * * * * 政府 zhèng fǔ 未為 wèi wèi COVIDSafe COVIDSafe 建立 jiàn lì 正式 zhèng shì 的 de 漏洞 lòu dòng 賞金計畫 shǎng jīn jì huà 。 。 This represents a significant departure from best practices.
根據權 gēn jù quán 威來源 wēi lái yuán 引述 yǐn shù 的 de 網路 wǎng lù 安全 ān quán 專家 zhuān jiā 表示 biǎo shì , , 「 「 最佳 zuì jiā 實踐 shí jiàn 應 yīng 包括 bāo kuò 正式 zhèng shì 的 de 披露 pī lù 計畫 jì huà 和 hé 漏洞 lòu dòng 賞金計畫 shǎng jīn jì huà , , 以及 yǐ jí 修 xiū 復 fù 漏洞 lòu dòng 的 de 承諾 chéng nuò 」 」 [ [ 1 1 ] ] 。 。 For comparison, the UK government's approach to its NHS COVID-19 app included more structured vulnerability disclosure processes [1].
**Delayed Source Code Publication:** While Australia eventually released source code (app code was published on April 28, 2020), there were significant delays and transparency issues [1].
這與 zhè yǔ 最佳 zuì jiā 實踐 shí jiàn 存在 cún zài 顯著 xiǎn zhù 偏差 piān chā 。 。 Cryptographer Dr.
相比之下 xiāng bǐ zhī xià , , 英國 yīng guó 政府 zhèng fǔ 對 duì 其 qí NHS NHS COVID COVID - - 19 19 應用 yīng yòng 程式 chéng shì 的 de 做法 zuò fǎ 包含 bāo hán 了 le 更 gèng 有 yǒu 結構 jié gòu 的 de 漏洞 lòu dòng 披露 pī lù 流程 liú chéng [ [ 1 1 ] ] 。 。 Vanessa Teague noted that "Singapore released app and server code weeks ago" while "Aus & the UK released app code, and no server code, within the last 24 hours" [1].
* * * * 原始 yuán shǐ 碼發布 mǎ fā bù 的 de 延遲 yán chí : : * * * * 雖然 suī rán 澳洲 ào zhōu 最終 zuì zhōng 公開 gōng kāi 了 le 原始 yuán shǐ 碼 mǎ ( ( 應用 yīng yòng 程式 chéng shì 碼 mǎ 於 yú 2020 2020 年 nián 4 4 月 yuè 28 28 日 rì 發布 fā bù ) ) , , 但 dàn 存在 cún zài 顯著 xiǎn zhù 的 de 延遲 yán chí 和 hé 透明度 tòu míng dù 問題 wèn tí [ [ 1 1 ] ] 。 。 Critically, Australia only released application code—not the server code where "the server does all the crypto" [1].
密碼學 mì mǎ xué 專家 zhuān jiā Vanessa Vanessa Teague Teague 博士 bó shì 指出 zhǐ chū , , 「 「 新加坡 xīn jiā pō 於 yú 數週前 shù zhōu qián 已 yǐ 發布 fā bù 應用 yīng yòng 程式 chéng shì 和 hé 伺服器 cì fú qì 程式 chéng shì 碼 mǎ 」 」 , , 而 ér 「 「 澳洲 ào zhōu 在 zài 過去 guò qù 24 24 小時 xiǎo shí 內 nèi 才 cái 發布 fā bù 應用 yīng yòng 程式 chéng shì 碼 mǎ , , 未 wèi 發布 fā bù 伺服器 cì fú qì 程式 chéng shì 碼 mǎ 」 」 [ [ 1 1 ] ] 。 。 The government also failed to publish whitepapers explaining the cryptographic design and security assumptions, unlike Singapore and the UK [1].
**Multiple Vulnerabilities Discovered Over Time:** Researchers identified at least four major vulnerabilities in COVIDSafe that were discovered at different times throughout 2020 [2]:
- A bug in how COVIDSafe reads Bluetooth messages on iPhones, causing some encrypted messages to be garbled [2]
- CVE-2020-14292: A vulnerability allowing long-term tracking of Android devices [2]
- CVE-2020-12856: A flaw affecting Android versions 1.0.17 and earlier, allowing attackers to bond silently with Android phones [2]
- A critical concurrency flaw in encryption code (versions 1.0.18 to 1.0.27) where a single Cipher instance was shared across threads without synchronization [2]
These were not all discovered simultaneously, but rather identified as researchers examined the code over weeks and months [2].
**Lack of Engagement with Research Community:** The government did not adequately engage with researchers raising concerns.
關鍵 guān jiàn 問題 wèn tí 在 zài 於 yú , , 澳洲 ào zhōu 僅發布 jǐn fā bù 了 le 應用 yīng yòng 程式 chéng shì 碼 mǎ — — — — 而 ér 非 fēi 「 「 執行 zhí xíng 所有 suǒ yǒu 加密 jiā mì 運算 yùn suàn 的 de 伺服器 cì fú qì 」 」 程式 chéng shì 碼 mǎ [ [ 1 1 ] ] 。 。 Dr.
政府 zhèng fǔ 也 yě 未 wèi 發布 fā bù 說明 shuō míng 加密 jiā mì 設計 shè jì 和 hé 安全 ān quán 假設 jiǎ shè 的 de 技術 jì shù 白皮 bái pí 書 shū , , 這與 zhè yǔ 新加坡 xīn jiā pō 和 hé 英國 yīng guó 的 de 做法 zuò fǎ 不同 bù tóng [ [ 1 1 ] ] 。 。 Vanessa Teague and colleagues reported problems with the application, but communication was difficult [1].
* * * * 隨時間 suí shí jiān 發現 fā xiàn 的 de 多個 duō gè 漏洞 lòu dòng : : * * * * 研究 yán jiū 人員 rén yuán 發現 fā xiàn COVIDSafe COVIDSafe 至少 zhì shǎo 存在 cún zài 四個 sì gè 重大 zhòng dà 漏洞 lòu dòng , , 這些 zhè xiē 漏洞 lòu dòng 於 yú 2020 2020 年間 nián jiān 不同 bù tóng 時間點 shí jiān diǎn 被 bèi 發現 fā xiàn [ [ 2 2 ] ] : : The Australian Digital Transformation Agency only published an email address where researchers "could provide feedback" rather than establishing a formal, responsive vulnerability disclosure program [1].
- - COVIDSafe COVIDSafe 在 zài iPhone iPhone 上 shàng 讀取 dú qǔ 藍牙訊息 lán yá xùn xī 的 de 方式 fāng shì 存在 cún zài 錯誤 cuò wù , , 導致 dǎo zhì 部分 bù fèn 加密 jiā mì 訊息 xùn xī 出現 chū xiàn 亂碼 luàn mǎ [ [ 2 2 ] ] - - CVE CVE - - 2020 2020 - - 14292 14292 : : 允許 yǔn xǔ 長 zhǎng 期 qī 追 zhuī 蹤 zōng Android Android 裝置 zhuāng zhì 的 de 漏洞 lòu dòng [ [ 2 2 ] ] - - CVE CVE - - 2020 2020 - - 12856 12856 : : 影響 yǐng xiǎng Android Android 1.0 1.0 . . 17 17 及 jí 更 gèng 早 zǎo 版本 bǎn běn 的 de 漏洞 lòu dòng , , 允許 yǔn xǔ 攻擊者 gōng jī zhě 與 yǔ Android Android 手機 shǒu jī 靜默配 jìng mò pèi 對 duì [ [ 2 2 ] ] - - 加密 jiā mì 程式 chéng shì 碼中 mǎ zhōng 的 de 重大 zhòng dà 並發 bìng fā 缺陷 quē xiàn ( ( 1.0 1.0 . . 18 18 至 zhì 1.0 1.0 . . 27 27 版本 bǎn běn ) ) : : 單一 dān yī Cipher Cipher 實例 shí lì 在 zài 未 wèi 同步 tóng bù 的 de 情況 qíng kuàng 下 xià 被 bèi 跨 kuà 執行緒 zhí xíng xù 共用 gòng yòng [ [ 2 2 ] ] 這些 zhè xiē 漏洞 lòu dòng 並 bìng 非同 fēi tóng 時 shí 被 bèi 發現 fā xiàn , , 而是 ér shì 研究 yán jiū 人員 rén yuán 在 zài 數週 shù zhōu 和 hé 數月 shù yuè 內 nèi 檢視 jiǎn shì 程式 chéng shì 碼時 mǎ shí 陸續識 lù xù shí 別出 bié chū 的 de [ [ 2 2 ] ] 。 。 * * * * 與 yǔ 研究 yán jiū 社群 shè qún 的 de 互動 hù dòng 不足 bù zú : : * * * * 政府 zhèng fǔ 未 wèi 充分 chōng fèn 與 yǔ 提出 tí chū 疑慮 yí lǜ 的 de 研究 yán jiū 人員 rén yuán 互動 hù dòng 。 。 Vanessa Vanessa Teague Teague 博士 bó shì 及其 jí qí 同事 tóng shì 回報 huí bào 了 le 應用 yīng yòng 程式 chéng shì 的 de 問題 wèn tí , , 但 dàn 溝通 gōu tōng 困難 kùn nán [ [ 1 1 ] ] 。 。 澳洲 ào zhōu 數位 shù wèi 轉型 zhuǎn xíng 局僅 jú jǐn 發布 fā bù 了 le 一個 yī gè 電子 diàn zi 郵件 yóu jiàn 地址 dì zhǐ 供 gōng 研究 yán jiū 人員 rén yuán 「 「 提供 tí gōng 反饋 fǎn kuì 」 」 , , 而 ér 非 fēi 建立 jiàn lì 正式 zhèng shì 、 、 具回 jù huí 應性 yīng xìng 的 de 漏洞 lòu dòng 披露 pī lù 計畫 jì huà [ [ 1 1 ] ] 。 。 缺失的脈絡
然而 rán ér , , 該聲 gāi shēng 稱 chēng 需要 xū yào 重要 zhòng yào 的 de 背景 bèi jǐng 資訊來 zī xùn lái 協助 xié zhù 理解 lǐ jiě : :
However, the claim requires significant context that affects interpretation:
**Rushed Timeline and Pandemic Response:** The COVIDSafe app was developed in response to an urgent pandemic crisis and was released quickly [3].
* * * * 倉促 cāng cù 的 de 時間 shí jiān 表 biǎo 和 hé 疫情 yì qíng 應對 yīng duì : : * * * * COVIDSafe COVIDSafe 應用 yīng yòng 程式 chéng shì 是 shì 為 wèi 了 le 應 yīng 對 duì 緊急 jǐn jí 的 de 疫情 yì qíng 危機 wēi jī 而 ér 開發 kāi fā 的 de , , 且 qiě 快速 kuài sù 發布 fā bù [ [ 3 3 ] ] 。 。 The government was developing technology at an unprecedented pace during a public health emergency.
政府 zhèng fǔ 在 zài 公共 gōng gòng 衛生 wèi shēng 緊 jǐn 急情 jí qíng 況下 kuàng xià 以 yǐ 前所未有 qián suǒ wèi yǒu 的 de 速度 sù dù 開發 kāi fā 技術 jì shù 。 。 While this explains the urgency, it does not excuse the failure to implement industry-standard security practices—in fact, it makes them more important, not less [3].
**Government Accountability vs.
雖然 suī rán 這解釋 zhè jiě shì 了 le 緊 jǐn 迫性 pò xìng , , 但 dàn 無法作 wú fǎ zuò 為 wèi 未 wèi 實施 shí shī 產業 chǎn yè 標準 biāo zhǔn 安全 ān quán 實踐 shí jiàn 的 de 藉口 jiè kǒu — — — — 事實 shì shí 上 shàng , , 這使 zhè shǐ 安全 ān quán 實踐 shí jiàn 變得 biàn dé 更加 gèng jiā 重要 zhòng yào , , 而 ér 非 fēi 較 jiào 不 bù 重要 zhòng yào [ [ 3 3 ] ] 。 。 Comparative Analysis:** The government did eventually respond to some issues.
* * * * 政府 zhèng fǔ 責任 zé rèn 與 yǔ 比 bǐ 較 jiào 分析 fēn xī : : * * * * 政府 zhèng fǔ 最終 zuì zhōng 對 duì 部分 bù fèn 問題 wèn tí 做出 zuò chū 了 le 回應 huí yīng 。 。 After the research community identified vulnerabilities, the DTA and Australian Signals Directorate did patch the encryption concurrency flaw, which researchers thanked them for addressing [2].
在 zài 研究 yán jiū 社群 shè qún 識別 shí bié 出 chū 漏洞 lòu dòng 後 hòu , , DTA DTA 和澳洲 hé ào zhōu 信號 xìn hào 局確 jú què 實修 shí xiū 補 bǔ 了 le 加密 jiā mì 並發 bìng fā 缺陷 quē xiàn , , 研究 yán jiū 人員 rén yuán 對 duì 此 cǐ 表示 biǎo shì 感謝 gǎn xiè [ [ 2 2 ] ] 。 。 However, the government's initial failure to establish proactive vulnerability disclosure mechanisms meant fixes came reactively rather than systematically.
**Comparison to International Standards:** Singapore's contact tracing app (TraceTogether), which Australia modeled COVIDSafe after, demonstrated that faster vulnerability disclosure and more transparent security practices were feasible even in a pandemic context.
然而 rán ér , , 政府 zhèng fǔ 最初 zuì chū 未能 wèi néng 建立 jiàn lì 主動 zhǔ dòng 的 de 漏洞 lòu dòng 披露 pī lù 機制 jī zhì , , 意味著 yì wèi zhù 修 xiū 復 fù 是 shì 被 bèi 動 dòng 的 de 而 ér 非系 fēi xì 統性 tǒng xìng 的 de 。 。 Similarly, the UK's approach, while not perfect, was significantly more transparent with whitepaper documentation and faster engagement with researchers [1].
**Scale of Impact:** While COVIDSafe's security issues were real, the app ultimately failed to deliver epidemiological value.
* * * * 與 yǔ 國際 guó jì 標準 biāo zhǔn 的 de 比 bǐ 較 jiào : : * * * * 澳洲 ào zhōu 所 suǒ 參考 cān kǎo 的 de 新加坡 xīn jiā pō 接觸 jiē chù 者 zhě 追 zhuī 蹤 zōng 應 yīng 用 yòng 程式 chéng shì ( ( TraceTogether TraceTogether ) ) 證明 zhèng míng , , 即使 jí shǐ 在 zài 疫情 yì qíng 背景 bèi jǐng 下 xià , , 更快 gèng kuài 的 de 漏洞 lòu dòng 披露 pī lù 和 hé 更 gèng 透明 tòu míng 的 de 安全 ān quán 實踐 shí jiàn 也 yě 是 shì 可行 kě xíng 的 de 。 。 A confidential government report by independent consultants found that "the utilisation of COVIDSafe...resulted in high transaction costs for state contact tracing teams and produced few benefits" [3].
同樣 tóng yàng 地 dì , , 英國 yīng guó 的 de 做法 zuò fǎ 雖非 suī fēi 完美 wán měi , , 但 dàn 在 zài 技術 jì shù 白皮 bái pí 書 shū 文件 wén jiàn 和 hé 與 yǔ 研究 yán jiū 人員 rén yuán 的 de 更 gèng 快 kuài 互動 hù dòng 方面 fāng miàn 顯著 xiǎn zhù 更 gèng 為 wèi 透明 tòu míng [ [ 1 1 ] ] 。 。 By the time the app was decommissioned, it had discovered only two positive cases and 17 close-contacts during its entire period of activity [3].
* * * * 影響 yǐng xiǎng 規模 guī mó : : * * * * 雖然 suī rán COVIDSafe COVIDSafe 的 de 安全 ān quán 問題 wèn tí 是 shì 真實 zhēn shí 存在 cún zài 的 de , , 但 dàn 該 gāi 應用 yīng yòng 程式 chéng shì 最終 zuì zhōng 未能 wèi néng 提供 tí gōng 流行病 liú xíng bìng 學價值 xué jià zhí 。 。 The security vulnerabilities, therefore, occurred in an application that was already fundamentally ineffective for its stated purpose.
一份 yī fèn 由 yóu 獨立 dú lì 顧問 gù wèn 撰 zhuàn 寫 xiě 的 de 機密 jī mì 政府 zhèng fǔ 報告 bào gào 發現 fā xiàn , , 「 「 COVIDSafe COVIDSafe 的 de 使用 shǐ yòng … … … … 為州級 wèi zhōu jí 接觸 jiē chù 追 zhuī 蹤 zōng 團 tuán 隊 duì 帶 dài 來 lái 了 le 高昂 gāo áng 的 de 交易成本 jiāo yì chéng běn , , 卻產生 què chǎn shēng 了 le 極少 jí shǎo 的 de 效益 xiào yì 」 」 [ [ 3 3 ] ] 。 。 到 dào 該 gāi 應用 yīng yòng 程式 chéng shì 停用 tíng yòng 時 shí , , 在 zài 其 qí 整個 zhěng gè 活動期 huó dòng qī 間僅 jiān jǐn 發現 fā xiàn 了 le 兩個 liǎng gè 確診 què zhěn 病例 bìng lì 和 hé 17 17 名 míng 密切 mì qiè 接觸者 jiē chù zhě [ [ 3 3 ] ] 。 。 因此 yīn cǐ , , 安全漏洞 ān quán lòu dòng 發生 fā shēng 在 zài 一個 yī gè 對 duì 其 qí 既定 jì dìng 目的 mù dì 已 yǐ 根本 gēn běn 無效 wú xiào 的 de 應用 yīng yòng 程式 chéng shì 上 shàng 。 。 來源可信度評估
提供 tí gōng 的 de 原始 yuán shǐ 來源 lái yuán 是 shì 可信 kě xìn 且 qiě 記錄 jì lù 完整 wán zhěng 的 de : :
The original sources provided are credible and well-documented:
**ZDNET Article [1]:** ZDNET is a mainstream technology publication owned by Ziff Davis Media and is widely recognized as a credible source for technology reporting.
* * * * ZDNET ZDNET 文章 wén zhāng [ [ 1 1 ] ] : : * * * * ZDNET ZDNET 是 shì Ziff Ziff Davis Davis Media Media 旗下 qí xià 的 de 主流 zhǔ liú 科技 kē jì 出版物 chū bǎn wù , , 被 bèi 廣泛 guǎng fàn 認可為 rèn kě wèi 科技 kē jì 報導 bào dǎo 的 de 可信 kě xìn 來源 lái yuán 。 。 The article by Stilgherrian, a noted technology journalist, is based on direct reporting from Jim Mussared (a security researcher) and Dr.
該文 gāi wén 由 yóu 著名 zhù míng 科技 kē jì 記者 jì zhě Stilgherrian Stilgherrian 撰寫 zhuàn xiě , , 基 jī 於 yú 對 duì 安全 ān quán 研究 yán jiū 人員 rén yuán Jim Jim Mussared Mussared 和備 hé bèi 受 shòu 尊敬 zūn jìng 的 de 密碼學 mì mǎ xué 專家 zhuān jiā Vanessa Vanessa Teague Teague 博士 bó shì 的 de 直接 zhí jiē 報導 bào dǎo 。 。 Vanessa Teague (a respected cryptographer).
該 gāi 文章 wén zhāng 以事 yǐ shì 實為 shí wèi 基礎 jī chǔ 並有 bìng yǒu 文件 wén jiàn 記錄 jì lù [ [ 1 1 ] ] 。 。 The article is fact-based and documented [1].
**ITNews Article [2]:** ITNews.com.au is an Australian technology news publication with a solid reputation for accurate reporting.
* * * * ITNews ITNews 文章 wén zhāng [ [ 2 2 ] ] : : * * * * ITNews ITNews . . com com . . au au 是 shì 澳洲 ào zhōu 科技 kē jì 新聞 xīn wén 出版物 chū bǎn wù , , 以 yǐ 準確 zhǔn què 報導 bào dǎo 著稱 zhù chēng 。 。 The article documents vulnerabilities identified by multiple respected researchers (Chris Culnane, Ben Frengley, Eleanor McMurtry, Jim Mussared, Yaakov Smith, Vanessa Teague, and Alwen Tiu) and is based on their detailed GitHub documentation [2].
**GitHub Documentation [3]:** The GitHub repository maintained by Vanessa Teague and others contains technical analysis and timeline documentation.
該 gāi 文章 wén zhāng 記錄 jì lù 了 le 多位 duō wèi 受 shòu 尊敬 zūn jìng 的 de 研究 yán jiū 人員 rén yuán ( ( Chris Chris Culnane Culnane 、 、 Ben Ben Frengley Frengley 、 、 Eleanor Eleanor McMurtry McMurtry 、 、 Jim Jim Mussared Mussared 、 、 Yaakov Yaakov Smith Smith 、 、 Vanessa Vanessa Teague Teague 和 hé Alwen Alwen Tiu Tiu ) ) 識別 shí bié 的 de 漏洞 lòu dòng , , 並基 bìng jī 於 yú 他們 tā men 詳細 xiáng xì 的 de GitHub GitHub 文件 wén jiàn [ [ 2 2 ] ] 。 。 This is a primary source authored by security researchers themselves and is highly credible for understanding what was discovered and when [3].
* * * * GitHub GitHub 文件 wén jiàn [ [ 3 3 ] ] : : * * * * Vanessa Vanessa Teague Teague 等 děng 人維護 rén wéi hù 的 de GitHub GitHub 儲存庫 chǔ cún kù 包含 bāo hán 技術 jì shù 分析 fēn xī 和 hé 時間 shí jiān 線 xiàn 文件 wén jiàn 。 。 These sources are not partisan advocacy; they are factual reporting by respected technology journalists and cryptography experts documenting security issues in a government application.
這是 zhè shì 由 yóu 安全 ān quán 研究 yán jiū 人員 rén yuán 本人 běn rén 撰寫 zhuàn xiě 的 de 主要 zhǔ yào 來源 lái yuán , , 對 duì 於 yú 理解 lǐ jiě 發現 fā xiàn 的 de 內容 nèi róng 和 hé 時間 shí jiān 極具 jí jù 可信度 kě xìn dù [ [ 3 3 ] ] 。 。 這些 zhè xiē 來源 lái yuán 並非 bìng fēi 黨 dǎng 派 pài 倡導 chàng dǎo ; ; 它們 tā men 是 shì 備受 bèi shòu 尊敬 zūn jìng 的 de 科技 kē jì 記者 jì zhě 和 hé 密碼學 mì mǎ xué 專家 zhuān jiā 記錄 jì lù 政府 zhèng fǔ 應用 yīng yòng 程式 chéng shì 安全 ān quán 問題 wèn tí 的 de 事實 shì shí 報導 bào dǎo 。 。 ⚖️
Labor 比較
* * * * 工黨 gōng dǎng 在 zài 技術 jì shù 安全 ān quán 實踐 shí jiàn 方面 fāng miàn 是否 shì fǒu 做 zuò 過類 guò lèi 似的 shì de 事情 shì qíng ? ?
**Did Labor do something similar with technology security practices?**
This question is somewhat difficult to assess directly because Labor was not in power during the COVID-19 pandemic (the Coalition governed 2013-2022, while Labor won the 2022 election).
* * * * However, some relevant historical context exists:
**Prior Labor Government Technology Initiatives:** During Labor's 2007-2013 period in government, it pursued various technology initiatives with mixed results, including the National Broadband Network (NBN).
這個 zhè gè 問題 wèn tí 較 jiào 難 nán 直接 zhí jiē 評估 píng gū , , 因為 yīn wèi 工黨 gōng dǎng 在 zài COVID COVID - - 19 19 疫情 yì qíng 期間 qī jiān 並未 bìng wèi 執政 zhí zhèng ( ( 聯盟 lián méng 黨 dǎng 執政期 zhí zhèng qī 為 wèi 2013 2013 - - 2022 2022 年 nián , , 而 ér 工黨 gōng dǎng 在 zài 2022 2022 年大選 nián dà xuǎn 中 zhōng 獲勝 huò shèng ) ) 。 。 The NBN project faced criticism for cost overruns and implementation challenges, but these were more related to project management and infrastructure deployment rather than security practices in specific applications [4].
**Proposed Opposition Cyber Security Policies:** During the pandemic, Labor's Shadow Assistant Cyber Security Minister Tim Watts pointed to the UK's model of a "central vulnerability disclosure platform" operated by HackerOne as a better approach [1].
然而 rán ér , , 存在 cún zài 一些 yī xiē 相關 xiāng guān 的 de 歷史 lì shǐ 背景 bèi jǐng : : Labor was proposing such measures as policy, suggesting the opposition recognized that the Coalition's approach was deficient [1].
* * * * 先前 xiān qián 工黨 gōng dǎng 政府 zhèng fǔ 的 de 技術 jì shù 計畫 jì huà : : * * * * 在 zài 工黨 gōng dǎng 2007 2007 - - 2013 2013 年 nián 執政期 zhí zhèng qī 間 jiān , , 推行 tuī xíng 了 le 多項 duō xiàng 技術 jì shù 計畫 jì huà , , 成果 chéng guǒ 參差 cān chà 不齊 bù qí , , 包括 bāo kuò 國家 guó jiā 寬頻 kuān pín 網路 wǎng lù ( ( NBN NBN ) ) 。 。 This implies Labor would likely have implemented better practices, but this is a proposed alternative rather than a demonstrated track record.
**Government-Wide Security Culture:** There is no evidence that Labor under Albanese government (2022-present) has implemented fundamentally different security practices for critical applications.
NBN NBN 計畫 jì huà 因 yīn 成本 chéng běn 超支 chāo zhī 和 hé 執行 zhí xíng 挑戰 tiāo zhàn 而 ér 受到 shòu dào 批評 pī píng , , 但 dàn 這些 zhè xiē 問題 wèn tí 更 gèng 多 duō 與 yǔ 專案 zhuān àn 管理 guǎn lǐ 和 hé 基礎 jī chǔ 設施 shè shī 部署 bù shǔ 相關 xiāng guān , , 而 ér 非 fēi 特定 tè dìng 應用 yīng yòng 程式 chéng shì 的 de 安全 ān quán 實踐 shí jiàn [ [ 4 4 ] ] 。 。 The issue appears to be more systemic across Australian government rather than partisan.
* * * * 提出 tí chū 的 de 反 fǎn 對 duì 黨 dǎng 網路 wǎng lù 安全 ān quán 政策 zhèng cè : : * * * * 疫情 yì qíng 期間 qī jiān , , 工黨 gōng dǎng 影子 yǐng zi 助理 zhù lǐ 網路 wǎng lù 安全部 ān quán bù 長 zhǎng Tim Tim Watts Watts 指出 zhǐ chū , , 英國 yīng guó 由 yóu HackerOne HackerOne 營運 yíng yùn 的 de 「 「 集中式 jí zhōng shì 漏洞 lòu dòng 披露 pī lù 平台 píng tái 」 」 是 shì 更好 gèng hǎo 的 de 做法 zuò fǎ [ [ 1 1 ] ] 。 。 工黨 gōng dǎng 曾 céng 提出 tí chū 此類 cǐ lèi 措施 cuò shī 作為 zuò wèi 政策 zhèng cè , , 暗示 àn shì 反對 fǎn duì 黨 dǎng 認為 rèn wèi 聯盟 lián méng 黨 dǎng 的 de 做法 zuò fǎ 存在 cún zài 缺陷 quē xiàn [ [ 1 1 ] ] 。 。 這 zhè 暗示 àn shì 工黨 gōng dǎng 可能 kě néng 會 huì 實施 shí shī 更好 gèng hǎo 的 de 實踐 shí jiàn , , 但 dàn 這是 zhè shì 提出 tí chū 的 de 替代 tì dài 方案 fāng àn 而 ér 非 fēi 實際 shí jì 的 de 往績 wǎng jī 記錄 jì lù 。 。 * * * * 全 quán 政府 zhèng fǔ 範圍 fàn wéi 的 de 安全 ān quán 文化 wén huà : : * * * * 沒有 méi yǒu 證據 zhèng jù 顯示 xiǎn shì Albanese Albanese 政府 zhèng fǔ 領導 lǐng dǎo 下 xià 的 de 工黨 gōng dǎng ( ( 2022 2022 年 nián 至今 zhì jīn ) ) 為 wèi 關鍵 guān jiàn 應用 yīng yòng 程式 chéng shì 實施 shí shī 了 le 根本 gēn běn 不同 bù tóng 的 de 安全 ān quán 實踐 shí jiàn 。 。 這個 zhè gè 問題 wèn tí 在 zài 澳洲 ào zhōu 政府 zhèng fǔ 中 zhōng 似乎 sì hū 更具 gèng jù 系統性 xì tǒng xìng , , 而 ér 非黨 fēi dǎng 派 pài 之分 zhī fēn 。 。 🌐
平衡觀點
* * * * 政府 zhèng fǔ 的 de 立場 lì chǎng : : * * * * DTA DTA 在 zài 疫情 yì qíng 期間 qī jiān 承受 chéng shòu 著 zhù 非凡 fēi fán 的 de 時間 shí jiān 壓力 yā lì 。 。
**The Government's Position:** The DTA acted under extraordinary time pressure during a pandemic.
建立 jiàn lì 正式 zhèng shì 的 de 漏洞 lòu dòng 賞金計畫 shǎng jīn jì huà 和 hé 發布 fā bù 全面 quán miàn 的 de 安全 ān quán 文件 wén jiàn 通常 tōng cháng 需要 xū yào 數週 shù zhōu 或數 huò shù 月 yuè 的 de 流程 liú chéng 。 。 Establishing formal bug bounty programs and publishing comprehensive security documentation requires processes that typically take weeks or months.
政府 zhèng fǔ 優 yōu 先考 xiān kǎo 慮 lǜ 快速 kuài sù 部署 bù shǔ , , 而 ér 非 fēi 在 zài 理想 lǐ xiǎng 情況 qíng kuàng 下應 xià yīng 有 yǒu 的 de 分層 fēn céng 安全 ān quán 實踐 shí jiàn 。 。 The government prioritized rapid deployment over the layered security practices that would have been ideal under normal circumstances.
**However, This Does Not Excuse the Approach:** International comparison shows that transparent security practices are not incompatible with rapid deployment.
* * * * 然而 rán ér , , 這並 zhè bìng 不能 bù néng 為 wèi 其 qí 做法 zuò fǎ 開脫 kāi tuō : : * * * * 國際 guó jì 比較 bǐ jiào 顯示 xiǎn shì , , 透明 tòu míng 的 de 安全 ān quán 實踐 shí jiàn 與 yǔ 快速 kuài sù 部署 bù shǔ 並非 bìng fēi 互斥 hù chì 。 。 Singapore and the UK both released more comprehensive documentation and established faster communication channels with researchers, even during the same pandemic emergency [1].
新加坡 xīn jiā pō 和 hé 英國 yīng guó 都 dōu 發布 fā bù 了 le 更 gèng 全面 quán miàn 的 de 文件 wén jiàn , , 並與 bìng yǔ 研究 yán jiū 人員 rén yuán 建立 jiàn lì 了 le 更 gèng 快 kuài 的 de 溝通 gōu tōng 管道 guǎn dào , , 即使 jí shǐ 在 zài 相同 xiāng tóng 的 de 疫情 yì qíng 緊 jǐn 急情 jí qíng 況下 kuàng xià 也 yě 是 shì 如此 rú cǐ [ [ 1 1 ] ] 。 。 The "it was urgent" explanation provides context but does not justify abandoning industry-standard security practices entirely.
**The Broader Systemic Issue:** The academic analysis of Australia's COVID technology ecosystem suggests this was part of a broader problem: "Australia's choice to advertise and design visual indicators of security—e.g., a 'green tick' for check ins—persistently came at the cost of strong cryptographic protections" [3].
「 「 當時 dāng shí 很 hěn 緊急 jǐn jí 」 」 的 de 解釋 jiě shì 提供 tí gōng 了 le 背景 bèi jǐng , , 但 dàn 不能 bù néng 作為 zuò wèi 完全 wán quán 放棄 fàng qì 產業 chǎn yè 標準 biāo zhǔn 安全 ān quán 實踐 shí jiàn 的 de 藉口 jiè kǒu 。 。 This represents not just a matter of timeline pressure but a fundamental philosophical difference in approaching security.
**Key Distinction:** Choosing security best practices is not a luxury add-on; it's foundational.
* * * * 更廣泛 gèng guǎng fàn 的 de 系 xì 統性 tǒng xìng 問題 wèn tí : : * * * * 對 duì 澳洲 ào zhōu COVID COVID 技術 jì shù 生態 shēng tài 系統 xì tǒng 的 de 學術 xué shù 分析表明 fēn xī biǎo míng , , 這是 zhè shì 更 gèng 廣泛 guǎng fàn 問題 wèn tí 的 de 一部分 yī bù fèn : : 「 「 澳洲 ào zhōu 選擇 xuǎn zé 宣傳 xuān chuán 和 hé 設計 shè jì 安全 ān quán 視覺 shì jué 指標 zhǐ biāo — — — — 例如 lì rú 簽到 qiān dào 時 shí 的 de 『 『 綠色 lǜ sè 勾號 gōu hào 』 』 — — — — 卻始 què shǐ 終以 zhōng yǐ 犧牲 xī shēng 強大 qiáng dà 的 de 加密 jiā mì 保護 bǎo hù 為代價 wèi dài jià 」 」 [ [ 3 3 ] ] 。 。 The government's failure to implement formal vulnerability disclosure, publish complete code, or establish bug bounty programs meant that:
- Security issues were discovered by external researchers and reported to unresponsive government agencies
- Fixes were implemented reactively rather than proactively
- The government didn't benefit from crowdsourced security auditing
- Public trust was eroded by poor security practices
這不僅 zhè bù jǐn 是 shì 時間 shí jiān 壓力 yā lì 的 de 問題 wèn tí , , 更是 gèng shì 處理 chù lǐ 安全 ān quán 問題 wèn tí 時 shí 根本 gēn běn 哲學 zhé xué 差異 chà yì 的 de 體現 tǐ xiàn 。 。 * * * * 關鍵 guān jiàn 區別 qū bié : : * * * * 選擇 xuǎn zé 安全 ān quán 最佳 zuì jiā 實踐 shí jiàn 並非 bìng fēi 奢侈 shē chǐ 的 de 附加 fù jiā 功能 gōng néng ; ; 它 tā 是 shì 基礎 jī chǔ 性 xìng 的 de 。 。 政府 zhèng fǔ 未能 wèi néng 實施 shí shī 正式 zhèng shì 的 de 漏洞 lòu dòng 披露 pī lù 、 、 發布 fā bù 完整 wán zhěng 的 de 程式 chéng shì 碼 mǎ , , 或 huò 建立 jiàn lì 漏洞 lòu dòng 賞金計畫 shǎng jīn jì huà , , 意味著 yì wèi zhù : : - - 安全 ān quán 問題 wèn tí 由 yóu 外部 wài bù 研究 yán jiū 人員 rén yuán 發現 fā xiàn 並回 bìng huí 報給 bào gěi 回應 huí yīng 不積極 bù jī jí 的 de 政府 zhèng fǔ 機構 jī gòu - - 修 xiū 復 fù 是 shì 被 bèi 動 dòng 的 de 而 ér 非主動 fēi zhǔ dòng 的 de - - 政府 zhèng fǔ 無法 wú fǎ 受益 shòu yì 於 yú 群眾 qún zhòng 外包 wài bāo 的 de 安全 ān quán 審計 shěn jì - - 公眾 gōng zhòng 信任 xìn rèn 因 yīn 不良 bù liáng 的 de 安全 ān quán 實踐 shí jiàn 而 ér 受到 shòu dào 侵蝕 qīn shí 真實
8.5
/ 10
聯盟 lián méng 黨 dǎng 政府 zhèng fǔ 在 zài 部署 bù shǔ COVIDSafe COVIDSafe 應用 yīng yòng 程式 chéng shì 時確 shí què 實忽視 shí hū shì 了 le 安全 ān quán 最佳 zuì jiā 實踐 shí jiàn 。 。
The Coalition government did ignore security best practices when deploying the COVIDSafe app.
政府 zhèng fǔ 選擇 xuǎn zé 不 bù 建立 jiàn lì 正式 zhèng shì 的 de 漏洞 lòu dòng 賞金計畫 shǎng jīn jì huà [ [ 1 1 ] ] , , 未即 wèi jí 時 shí 發布 fā bù 完整 wán zhěng 的 de 原始 yuán shǐ 碼 mǎ ( ( 僅發布 jǐn fā bù 應用 yīng yòng 程式 chéng shì 碼 mǎ , , 未 wèi 發布 fā bù 伺服器 cì fú qì 程式 chéng shì 碼 mǎ ) ) [ [ 1 1 ] ] , , 且 qiě 未能 wèi néng 建立 jiàn lì 具回 jù huí 應性 yīng xìng 的 de 漏洞 lòu dòng 披露 pī lù 流程 liú chéng [ [ 1 1 ] ] 。 。 The government chose not to establish a formal bug bounty program [1], did not promptly publish complete source code (only app code, not server code) [1], and failed to establish responsive vulnerability disclosure processes [1].
這些 zhè xiē 漏洞 lòu dòng — — — — 包括 bāo kuò CVE CVE - - 2020 2020 - - 14292 14292 、 、 CVE CVE - - 2020 2020 - - 12856 12856 、 、 藍牙訊息 lán yá xùn xī 亂碼 luàn mǎ 以及 yǐ jí 加密 jiā mì 並發 bìng fā 缺陷 quē xiàn — — — — 是 shì 由 yóu 研究 yán jiū 人員 rén yuán 隨時間 suí shí jiān 發現 fā xiàn 並回 bìng huí 報給 bào gěi 回應 huí yīng 不積極 bù jī jí 的 de 政府 zhèng fǔ 機構 jī gòu 的 de [ [ 1 1 ] ] [ [ 2 2 ] ] 。 。 These vulnerabilities—including CVE-2020-14292, CVE-2020-12856, Bluetooth message garbling, and encryption concurrency flaws—were discovered by researchers over time and reported to an unresponsive government apparatus [1][2].
國際 guó jì 比 bǐ 較 jiào ( ( 新加坡 xīn jiā pō 、 、 英國 yīng guó ) ) 證明 zhèng míng 這些 zhè xiē 是 shì 選擇 xuǎn zé 上 shàng 的 de 失誤 shī wù , , 而 ér 非 fēi 必要性 bì yào xìng [ [ 1 1 ] ] [ [ 3 3 ] ] 。 。 International comparisons (Singapore, UK) demonstrate these were failures of choice, not necessity [1][3].
最終分數
8.5
/ 10
真實
聯盟 lián méng 黨 dǎng 政府 zhèng fǔ 在 zài 部署 bù shǔ COVIDSafe COVIDSafe 應用 yīng yòng 程式 chéng shì 時確 shí què 實忽視 shí hū shì 了 le 安全 ān quán 最佳 zuì jiā 實踐 shí jiàn 。 。
The Coalition government did ignore security best practices when deploying the COVIDSafe app.
政府 zhèng fǔ 選擇 xuǎn zé 不 bù 建立 jiàn lì 正式 zhèng shì 的 de 漏洞 lòu dòng 賞金計畫 shǎng jīn jì huà [ [ 1 1 ] ] , , 未即 wèi jí 時 shí 發布 fā bù 完整 wán zhěng 的 de 原始 yuán shǐ 碼 mǎ ( ( 僅發布 jǐn fā bù 應用 yīng yòng 程式 chéng shì 碼 mǎ , , 未 wèi 發布 fā bù 伺服器 cì fú qì 程式 chéng shì 碼 mǎ ) ) [ [ 1 1 ] ] , , 且 qiě 未能 wèi néng 建立 jiàn lì 具回 jù huí 應性 yīng xìng 的 de 漏洞 lòu dòng 披露 pī lù 流程 liú chéng [ [ 1 1 ] ] 。 。 The government chose not to establish a formal bug bounty program [1], did not promptly publish complete source code (only app code, not server code) [1], and failed to establish responsive vulnerability disclosure processes [1].
這些 zhè xiē 漏洞 lòu dòng — — — — 包括 bāo kuò CVE CVE - - 2020 2020 - - 14292 14292 、 、 CVE CVE - - 2020 2020 - - 12856 12856 、 、 藍牙訊息 lán yá xùn xī 亂碼 luàn mǎ 以及 yǐ jí 加密 jiā mì 並發 bìng fā 缺陷 quē xiàn — — — — 是 shì 由 yóu 研究 yán jiū 人員 rén yuán 隨時間 suí shí jiān 發現 fā xiàn 並回 bìng huí 報給 bào gěi 回應 huí yīng 不積極 bù jī jí 的 de 政府 zhèng fǔ 機構 jī gòu 的 de [ [ 1 1 ] ] [ [ 2 2 ] ] 。 。 These vulnerabilities—including CVE-2020-14292, CVE-2020-12856, Bluetooth message garbling, and encryption concurrency flaws—were discovered by researchers over time and reported to an unresponsive government apparatus [1][2].
國際 guó jì 比 bǐ 較 jiào ( ( 新加坡 xīn jiā pō 、 、 英國 yīng guó ) ) 證明 zhèng míng 這些 zhè xiē 是 shì 選擇 xuǎn zé 上 shàng 的 de 失誤 shī wù , , 而 ér 非 fēi 必要性 bì yào xìng [ [ 1 1 ] ] [ [ 3 3 ] ] 。 。 International comparisons (Singapore, UK) demonstrate these were failures of choice, not necessity [1][3].
📚 來源與引用 (6)
-
1
zdnet.com
Best practice would suggest that making source code available and responding quickly to reported vulnerabilities is a given for government apps, but not yet in Australia.
ZDNET -
2
itwire.com
A number of researchers have detailed four major vulnerabilities in the Australian Government's COVIDSafe application for the iPhone and Android systems, and advised users to upgrade at once. The main patches issued were to fix: A bug in the way COVIDSafe reads Bluetooth messages on iPhones. Thi...
Researchers outline flaws in COVIDSafe app, urge users to upgrade -
3
arxiv.org
Arxiv
-
4PDF
report on the operation and effectiveness of covidsafe and the national covidsafe data store 0
Health Gov • PDF Document -
5
ncbi.nlm.nih.gov
Timely and effective contact tracing is an essential public health measure for curbing the transmission of COVID-19. App-based contact tracing has the potential to optimize the resources of overstretched public health departments. However, its ...
PubMed Central (PMC) -
6
pmc.ncbi.nlm.nih.gov
The global and national response to the COVID-19 pandemic has been inadequate due to a collective lack of preparation and a shortage of available tools for responding to a large-scale pandemic. By applying lessons learned to create better ...
PubMed Central (PMC)
評分量表方法論
1-3: 虛假
事實不正確或惡意捏造。
4-6: 部分
有部分真實性,但缺乏或扭曲了背景。
7-9: 大致屬實
微小的技術性問題或措辭問題。
10: 準確
完美驗證且在情境上公正。
方法論: 評分通過交叉比對官方政府記錄、獨立事實查核組織和原始來源文件來確定。