Uusi työkalu löytää turvallisuus- ja yksityisyyspuutteita COVID-19 tartunnanjäljityssovelluksissa

COVID-19-pandemia heitti maailman sekasortoon. Sen vaikutukset olivat ja ovat edelleen tuhoisia, työntäen monet maat lähelle taantumaa. Vastauksena eri maat ympäri maailmaa työskentelevät ahkerasti löytääkseen ratkaisun tähän uhkaan. Yksi tällaisista ratkaisuista ovat covid-19-jäljityssovellukset.

## Mitä ovat COVID-19 -jäljityssovellukset?

Jäljityssovellukset ovat osa digitaalisia vastauksia, joita maat antavat pandemiaan. Samalla kun tiedemiehet ja tutkijat työskentelevät olemassa olevien rokotteiden hienosäädön parissa, myös teknologia-asiantuntijat ovat antaneet panoksensa luomalla COVID-19-jäljityssovelluksia.

COVID-19-jäljityssovellus on sovellus, joka ”jäljittää” tartunnan saaneita henkilöitä tartuntaketjussa. Nämä sovellukset asennetaan kaikenlaisiin älypuhelimiin. Siksi löydät niiden variantteja sekä Android- että iOS-laitteille. Ne käyttävät tyypillisesti Google/Apple Exposure Notification (GAEN) -järjestelmää.

Tässä se toimii molempien laitteiden Bluetoothin kanssa, yhdistäen käyttäjät, jotka ovat ladanneet sovellukset ja ovat lähellä toisiaan (2 metrin sisällä). Sovellus ilmoittaisi käyttäjälle, jos toinen yhdistetty henkilö on saanut positiivisen testituloksen viruksesta. (Henkilön, joka sai positiivisen testituloksen, täytyisi sallia asetuksistaan, että sovellus voi lähettää ilmoituksia henkilöille, jotka ovat heidän läheisyydessään.) Altistunut henkilö voi sitten ryhtyä asianmukaisiin toimenpiteisiin, eli joko mennä testattavaksi tai karanteeniin.

Muut sovellusversiot käyttävät langatonta teknologiaa tai GRP:tä Bluetoothin sijaan. Monimutkaisemmissa versioissa on myös ominaisuuksia, jotka auttavat päivittäisen fysiologisen tilan itsearvioinnissa, lämpötilan, sydämen sykkeen yms. seurannassa.

Yksinään jäljityssovellukset eivät ehkä voita taistelua pandemiaa vastaan. Kuitenkin ne voisivat vaikuttaa merkittävästi, kun ne yhdistetään vahvoihin sääntelypolitiikkoihin ja strategioihin. Lisäksi ne voisivat tulla vielä tehokkaammiksi, jos ne saavat jonkinlaista lainsäädännöllistä/poliittista tukea.

## Yksityisyys-/turvallisuushuolet koskien tartunnanjäljityssovelluksia

Yksi keskeinen huoli COVID-19 -jäljityssovelluksia koskien on mahdollisuus käyttäjien yksityisyyden loukkaamiseen. Aivan kuten monissa muissakin nykyään käytössä olevissa sovelluksissa, turvallisuusloukkausten ongelma on kansalaisten huolien kärjessä. Itse asiassa Queen Maryn yliopiston Lontoossa suorittamassa kyselyssä vapaaehtoiset ilmoittivat, että yksityisyys on heidän suurin huolensa ladataessa seurantasovellusta. Tämä yli 370 henkilön kysely paljasti, että ihmiset arvostavat yksityisyyttään enemmän kuin sovellusten tehokkuutta.

Yleisesti ottaen GEAN-järjestelmä on rakennettu siten, että se suojaa käyttäjien yksityisyyttä. Se estää tietojen jakamisen terveysviranomaisille tai hallitukselle. Tämä auttaa käsittelemään käyttäjien keskeistä huolta. Tyypillisesti tietojen jakaminen hallitukselle johtaa liukkaaseen rinteeseen, jossa tietoja voidaan käyttää jopa valvontaan ja sensuuriin.

Kuitenkin jotkut jäljityssovellukset vaativat pääsyn käyttäjän yhteystietoluetteloon ennen asennuksen valmistumista. Monet muut ilmoittavat nimenomaisesti, että ne käyttäisivät laitteen sijaintia, salasanaa, IP-osoitetta ja käyttäjän tuottamaa dataa. Lisäksi vain harvat palveluntarjoajat menevät pidemmälle salatakseen käyttäjien tiedot ja pitääkseen tiedot anonyymeinä koko ajan.

Lisäksi yksityisyyden riskit ja altistuminen määräytyvät sen perusteella, käyttääkö sovellus hajautettua vai keskitettyä tallennusjärjestelmää. Keskitetyssä järjestelmässä käyttäjien tiedot ovat paikallisia. Jokaisen sovelluksen tuottama tieto ladataan keskitetylle palvelimelle. Täällä terveysviranomaisilla on pääsy tietoihin, jotka muodostavat kriittisiä tilastoja pandemian ratkaisujen luomiseksi. Se myös mahdollistaa viranomaisten seurata ja tarjota hoitoa tartunnan saaneille henkilöille.

Toisaalta hajautetussa järjestelmässä suurin osa tiedoista säilytetään käyttäjän puhelimessa. Tietoja lähetetään sitten ajoittain ulkoisille palvelimille. Tämä järjestelmä on yksityisyyden kannalta ystävällisempi. Keskusjohtoinen lähestymistapa on kuitenkin terveysviranomaisille hyödyllisempi, erityisesti viruksen diagnosoinnissa ja hoidossa.

## Vastaus

Useita tutkijoita on ryhtynyt ennakoivaan toimeen ja kehittänyt työkalun, jolla voidaan tunnistaa ja korjata COVID-19 jäljityssovellusten kohtaamia yksityisyyshaasteita. Tätä työkalua kutsutaan nimellä COVIDGuardian. Tämä yksityisyyden arviointityökalu suorittaa tarkastuksia sovelluksissa. Se etsii haittaohjelmia, yksityisen tiedon vuotoja ja sisäänrakennettuja seuraajia.

Sen käyttöönotosta lähtien tämä työkalu on auttanut havaitsemaan erilaisia turvallisuusuhkia näissä sovelluksissa. Turvallisuusasiantuntijat käyttivät ohjelmistoa seurantasovellusten analysointiin ja löysivät muun muassa, että vähintään 72,5 % sovelluksista käyttää ainakin yhtä turvatonta algoritmia, yli puolet sovelluksista sisältää seuraimia, jotka välittävät tietoja kolmansille osapuolille, kuten Googlelle, ja yksi sovellus todettiin sisältävän haittaohjelman. Tämän tutkimuksen suoritti tutkijaryhmä Queen Mary University:ssä, Lontoossa. He tekivät myöhemmin löydöksensä julkisiksi. Tämän seurauksena neljä tarkastelun alla ollutta sovellusta korjasi työkalun huomaamat haasteet. Lisäksi yksi ongelmallinen sovellus poistettiin kokonaan älypuhelinten sovelluskaupoista.

## Yhteenveto

COVID-19-pandemian puhkeamisen myötä hallitukset ottavat vastaan kaiken avun, mitä voivat saada. COVID-19-seurantasovellukset tarjoavat keinon estää viruksen leviämistä. Ne tarjoavat myös keinon seurata tartunnan saaneita henkilöitä, pysäyttäen viruksen edelleen leviämisen. Kuten ohjelmistojen kanssa on yleistä, jotkin seurantasovellukset kärsivät turvallisuusongelmista. COVIDGuardian kehitettiin sitten havaitsemaan ja käsittelemään näitä turvallisuusongelmia.