Nowe narzędzie odkrywa luki w bezpieczeństwie i prywatności aplikacji do śledzenia kontaktów COVID-19

Pandemia COVID-19 wprowadziła świat w chaos. Jej skutki były i nadal są niszczące, popychając wiele krajów na krawędź recesji. W odpowiedzi, różne kraje świata pracują usilnie, aby znaleźć rozwiązanie tego zagrożenia. Jednym z takich rozwiązań są aplikacje do śledzenia covid-19.

## Czym są aplikacje do śledzenia kontaktów COVID-19?

Aplikacje do śledzenia kontaktów są częścią cyfrowych odpowiedzi, jakie kraje oferują w odpowiedzi na pandemię. Podczas gdy naukowcy i badacze pracują nad dopracowaniem już istniejących szczepionek, guru technologii również dołożyli swoją cegiełkę, tworząc aplikacje do śledzenia COVID-19.

Aplikacja do śledzenia COVID-19 to aplikacja, która “śledzi” zarażone osoby w linii transmisji. Te aplikacje są instalowane na smartfonach każdego typu. Dlatego można znaleźć ich warianty dla urządzeń klasy Android i iOS. Zazwyczaj wykorzystują one system powiadomień o ekspozycji Google/Apple (GAEN).

Tutaj działa to za pomocą Bluetooth obu urządzeń, łącząc użytkowników, którzy pobrali aplikacje i znajdują się w bliskiej odległości (w obrębie 2 metrów) od siebie. Aplikacja powiadomiłaby użytkownika, jeśli druga połączona osoba otrzymała pozytywny wynik testu na obecność wirusa. (Osoba, która otrzymała pozytywny wynik, musiałaby włączyć odpowiednie ustawienia, aby aplikacja mogła wysyłać powiadomienia do osób znajdujących się w ich pobliżu.) Osoba narażona może wtedy podjąć odpowiednie kroki, tj. albo przejść testowanie, albo poddać się kwarantannie.

Inne warianty aplikacji korzystają z technologii bezprzewodowej lub GRP zamiast Bluetooth. W bardziej zaawansowanych wersjach dostępne są również funkcje, które pomagają w samoocenie codziennego stanu fizjologicznego, monitorowaniu temperatury, tętna itp.

Samodzielnie, aplikacje do śledzenia kontaktów mogą nie wygrać walki z pandemią. Jednak mogą mieć znaczący wpływ, gdy zostaną połączone z silnymi politykami regulacyjnymi i strategiami. Co więcej, mogą stać się jeszcze bardziej skuteczne, jeśli otrzymają w pewien sposób wsparcie legislacyjne/polityczne.

## Obawy dotyczące prywatności/bezpieczeństwa w aplikacjach do śledzenia kontaktów

Jednym z kluczowych problemów dotyczących aplikacji do śledzenia COVID-19 jest możliwość naruszenia prywatności użytkowników. Podobnie jak w przypadku wielu innych obecnie używanych aplikacji, problem naruszeń bezpieczeństwa jest na czele obaw obywateli. W rzeczywistości, w ankiecie przeprowadzonej przez badaczy z Queen Mary’s University London, wolontariusze stwierdzili, że prywatność jest ich największym zmartwieniem podczas pobierania aplikacji do śledzenia. Ta ankieta, w której wzięło udział ponad 370 osób, ujawniła, że ludzie przywiązują większą wagę do swojej prywatności niż do skuteczności aplikacji.

Ogólnie rzecz biorąc, system GEAN jest zbudowany w taki sposób, że chroni prywatność użytkowników. Zapobiega udostępnianiu danych organom zdrowia lub rządowi. Pomaga to rozwiać kluczowe obawy użytkowników. Zazwyczaj udostępnianie danych rządowi prowadzi do śliskiego stoku, gdzie dane mogą być wykorzystywane nawet do monitoringu i cenzury.

Jednak niektóre aplikacje do śledzenia wymagają dostępu do listy kontaktów użytkownika przed zakończeniem instalacji. Wiele innych wyraźnie deklaruje, że będą wykorzystywać lokalizację urządzenia, hasło, adres IP oraz dane generowane przez użytkownika. Co więcej, tylko nieliczni dostawcy dokładają wszelkich starań, aby szyfrować dane użytkowników i zachować anonimowość danych przez cały okres.

Ponadto, ryzyko naruszenia prywatności i ekspozycja zależą od tego, czy aplikacja używa zdecentralizowanego, czy scentralizowanego systemu przechowywania danych. W scentralizowanym systemie dane użytkowników są lokalizowane. Każda informacja generowana przez każdą aplikację jest przesyłana do centralnego serwera. Tutaj, organy zdrowia mają dostęp do danych, które stanowią kluczowe statystyki dla tworzenia rozwiązań na pandemię. Pomaga to również władzom w śledzeniu i zapewnianiu leczenia zarażonym osobom.

Z drugiej strony, w systemie zdecentralizowanym większość danych jest przechowywana na telefonie użytkownika. Fragmenty są następnie przesyłane na zewnętrzne serwery od czasu do czasu. Ten system jest bardziej przyjazny dla prywatności. Jednakże, scentralizowane podejście jest bardziej użyteczne dla władz zdrowotnych, szczególnie w diagnozowaniu i leczeniu wirusa.

## Odpowiedź

W ramach działań prewencyjnych, kilku badaczy opracowało narzędzie do identyfikacji i korygowania problemów z prywatnością, z którymi spotykają się aplikacje do śledzenia kontaktów COVID-19. Narzędzie to nosi nazwę COVIDGuardian. To narzędzie do oceny prywatności przeprowadza kontrole nad aplikacjami. Sprawdza obecność malware, wycieków prywatnych informacji oraz wbudowanych trackerów.

Od momentu powstania to narzędzie pomogło wykryć różne zagrożenia bezpieczeństwa w tych aplikacjach. Eksperci ds. bezpieczeństwa wykorzystali oprogramowanie do analizy aplikacji śledzących i odkryli, między innymi, że nie mniej niż 72,5% aplikacji używa co najmniej jednego niezabezpieczonego algorytmu, więcej niż połowa aplikacji zawiera trackery, które przekazują informacje stronie trzeciej takiej jak Google, a w jednej aplikacji znaleziono złośliwe oprogramowanie. Badanie to przeprowadził zespół badaczy z Queen Mary University, Londyn. Następnie udostępnili swoje wyniki publicznie. W reakcji na to, cztery z recenzowanych aplikacji naprawiły problemy zauważone przez narzędzie. Co więcej, jedna problematyczna aplikacja została całkowicie usunięta ze sklepów z aplikacjami na smartfony.

## Podsumowanie

W związku z wybuchem pandemii COVID-19, rządy korzystają ze wszelkiej dostępnej pomocy. Aplikacje do śledzenia COVID-19 stanowią sposób na powstrzymanie rozprzestrzeniania się wirusa. Umożliwiają również śledzenie osób zakażonych, co zapobiega dalszemu rozprzestrzenianiu się wirusa. Jednak, jak to często bywa z oprogramowaniem, niektóre z aplikacji do śledzenia miały problemy z bezpieczeństwem. Wówczas powstał COVIDGuardian, aby wykrywać i radzić sobie z tymi problemami bezpieczeństwa.