Nytt Verktøy Oppdagar Sikkerheits- og Personvernsårbarheiter i COVID-19 Smittesporingsappar

COVID-19-pandemien kasta verda ut i kaos. Effektane var og er framleis øydeleggjande, og pressa mange land til randen av ein resesjon. Som svar jobbar ulike land i verda iherdig for å finne ei løysing på trusselen. Ein av slike løysingar er covid-19-sporingsappar.  

Kva er COVID-19 Smittesporingsappar?

Sporingsappar er i ligaen av digitale responsar land gir til pandemien. Medan vitskapsfolk og forskarar arbeider med å finjustere vaksinane som allereie finst, har også teknologiguruar kasta seg inn i det ved å skape COVID-19 sporingssappar. 

Ein COVID-19 sporingsapp er ein app som «sporar» smitta personar i ein smittekjede. Desse appane er installerte på smarttelefonar av alle typar. Dermed kan du finne variantane deira for Android- og iOS-klassen av einingar. Dei nyttar typisk Google/Apple Exposure Notification (GAEN) System. 

Her fungerer det med Bluetooth på begge enhetene, og koblar saman brukarar som har lasta ned appane og er i nærleiken (innen 2 meter) av kvarandre. Appen vil varsle ein brukar dersom den andre tilkoblede personen testa positivt for viruset. (Personen som testa positivt må aktivere innstillingane sine for å la appen sende varsler til personar som er i nærleiken av dei.) Den utsette personen kan då ta dei høvelege stega, dvs. anten å teste seg eller gå i karantene.

Andre variantar av appane brukar trådlaus teknologi eller GRP i staden for Bluetooth. For dei meir avanserte versjonane er funksjonar som hjelper med sjølvvurdering av dagleg fysiologisk status, overvaking av temperatur, hjarterytme osv., også til stades.

På eiga hand kan ikkje smittesporingsappar vinne kampen mot pandemien. Likevel kan dei ha ein stor innverknad når dei blir kombinerte med sterke regulative politikk og strategiar. Endå meir kan dei bli ytterlegare effektive om dei får ein eller annan form for lovgjevande/politisk støtte.

Personvern-/Sikkerheitsproblem med Smittesporingsappar

Ei nøkkelbekymring knytt til COVID-19 sporingssappar er moglegheita for brot på personvernet til brukarane. Liksom mange andre appar som er i bruk i dag, er problemet med sikkerheitsbrot på toppen av borgarane sine bekymringar. Faktisk, i ei undersøking utført av forskarar frå Queen Mary’s University London, uttalte frivillige at personvern er deira største bekymring ved nedlasting av ein sporingssapp. Denne undersøkinga av over 370 personar avslørte at folk sette større pris på personvernet sitt enn appane sin effektivitet. 

Generelt er GEAN-systemet strukturert på ein måte som beskyttar personvernet til brukarane. Det hindrar deling av data til helsemyndigheitene eller regjeringa. Dette hjelper med å ta opp ei nøkkelbekymring hos brukarane. Vanlegvis fører deling av data med regjeringa til ein skråplan der data kan bli brukt til og med for overvaking og sensur.

Likevel krev nokre sporingsappar tilgang til brukaren sin kontaktliste før installasjonen er fullført. Mange andre uttalar uttrykkeleg at dei vil nytte seg av enhetens plassering, passord, IP-adresse og data generert av brukaren. Endå meir, berre eit fåtal leverandørar gjer det ekstra steget med å kryptere brukarane sine data og halde dataene anonyme heile perioden.

Vidare er personvernrisikoar og eksponering bestemt av om appen brukar eit desentralisert eller sentralisert lagringssystem. I eit sentralisert system er brukardata lokalisert. All informasjon generert av kvar app blir lasta opp til ein sentral server. Her har helsemyndigheitene tilgang til dataen, som dannar kritiske statistikkar for å skape løysingar på pandemien.  Det fungerer også for å gjere det mogleg for myndigheitene å halde oversikt over og gi behandling til smitta personar. 

På den andre sida, i eit desentralisert system, blir mesteparten av dataa behalde på brukaren sin telefon. Snuttar blir deretter lasta opp til eksterne tenarar frå tid til annan. Dette systemet er meir personvernvennleg. Likevel er ein sentralisert tilnærming meir nyttig for helsestyresmaktene, særleg for diagnostisering og behandling av viruset. 

Svaret

I eit førebyggjande tiltak har fleire forskarar kome opp med eit verktøy for å identifisere og rette opp i personvernsutfordringane som blir møtt med COVID-19 sporingsappar. Dette verktøyet er kjent som COVIDGuardian. Dette personvernvurderingsverktøyet køyrer sjekkar på appane. Det ser etter skadevare, lekkasjar av privat informasjon og innebygde sporarar. 

Sidan oppstarten har dette verktøyet hjelpt til med å oppdage ulike tryggleiksutfordringar på desse appane. Tryggleiksekspertar brukte programvara til å analysere sporingssappar og fann, blant anna, at ikkje mindre enn 72,5 % av appane brukar minst ein usikker algoritme, meir enn halvparten av appane inneheld sporarar som sender informasjon til tredjepartar som Google, og ein app blei funnen å innehalde skadevare. Denne undersøkinga blei utført av eit team forskarar ved Queen Mary University, London. Dei gjorde deretter funna sine offentlege. Som ein reaksjon på dette, fiksa fire av appane under gjennomgang utfordringane som verktøyet påpeikte. Vidare blei ein problematisk app heilt fjerna frå appbutikkane til smarttelefonar.

Konklusjon

Med utbrotet av COVID-19-pandemien tek regjeringar imot all hjelp dei kan få. COVID-19-sporingsappar gir eit middel for å førebyggje spreiinga av viruset. Det gir også eit middel til å spore smitta personar, og stoppe vidare spreiing av viruset. Likevel, som er vanleg med programvare, hadde nokre av sporingssappane sikkerheitsproblem. COVIDGuardian vart deretter utvikla for å oppdage og handtere desse sikkerheitsproblema.