Srdjan Cvjetović

Četrtek,
7. 5. 2020,
15.04

Osveženo pred

4 leta, 6 mesecev

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue 0,94

10

Natisni članek

Natisni članek

računalniška varnost varovanje zasebnosti mobilna aplikacija COVID-19

Četrtek, 7. 5. 2020, 15.04

4 leta, 6 mesecev

Prelomljena obljuba ali slabo programiranje?

Velika večina nacionalnih aplikacij za slednje stikom okuženih s covid-19 ima resne pomanjkljivosti

Srdjan Cvjetović

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue 0,94

10

Koronavirus | Tudi v Evropi intenzivno razmišljajo o uvedbi aplikacij, ki bi (lahko) ugotavljale, kdo je s kom bil v stiku, kar bi epidemiologom zelo pomagalo pri preprečevanju nadaljnjih okužb, če bi se ugotovilo, da je nekdo zbolel s Covid-19. | Foto Reuters

Tudi v Evropi intenzivno razmišljajo o uvedbi aplikacij, ki bi (lahko) ugotavljale, kdo je s kom bil v stiku, kar bi epidemiologom zelo pomagalo pri preprečevanju nadaljnjih okužb, če bi se ugotovilo, da je nekdo zbolel s Covid-19.

Foto: Reuters

Evropska komisija ima jasna pravila glede varovanja osebnih podatkov in od avtorjev aplikacij, ki bi morale pomagati pri ugotavljanju stikov oseb, okuženih s covid-19, dosledno zahteva njihovo upoštevanje. Toda strokovnjaki opozarjajo, da to praviloma ni tako, poleg tega pa imajo številne izmed teh aplikacij tudi varnostne ranljivosti.

Po zgledu azijskih držav razmišljajo tudi v Evropi o uvedbi aplikacij, ki bi (lahko) ugotavljale, kdo je bil s kom v stiku, kar bi epidemiologom zelo pomagalo pri preprečevanju nadaljnjih okužb, če bi se ugotovilo, da je nekdo zbolel za covid-19.

Singapur, epidemija, koronavirus
Novice Kako v Singapurju hitro ugotovijo stike z okuženimi? Z mobilno aplikacijo!

Države so se te naloge lotile večinoma same in, kot kaže, je niso opravile najbolje.

Pod lupo 30 nacionalnih aplikacij

Strokovnjaki francoskega podjetja za mobilno varnost Pradeo Lab je preizkusilo 30 tovrstnih nacionalnih aplikacij, od tega 12 evropskih, in jih je opredelilo po jasnih merilih glede računalniške varnosti in varovanja osebnih podatkov.

Gre za aplikacije, ki so, kot so nam pojasnili v družbi Pradeo Lab, že javno na voljo v njihovih državah.

V videu si oglejte, kako so se uvrstile evropske aplikacije ter katere so prejele najboljše in katere najslabše ocene kritičnosti glede varnega delovanja in varovanja zasebnosti.

Samo dve aplikaciji ne zahtevata nobenega osebnega podatka

Ugotovitve so vse prej kot spodbudne: prav vse aplikacije imajo neko varnostno ranljivost (nekatere izmed teh ranljivosti sicer niso zelo kritične), več kot polovica pa jih krši zasebnost uporabnikov, so ugotovili. Kar 43 odstotkov aplikacij (nepotrebno) zahteva osebne podatke, nadaljnjih 33 odstotkov pa "samo" telefonsko številko.

Prazne ulice v Italiji
Novice Italijani dobivajo mobilno aplikacijo za sledenje stikom okuženih - ali jo bodo sprejeli?

Zahteva po kakršnemkoli podatku, celo po osebni številki, je povsem nepotrebna, ker te aplikacije lahko opravijo svoje temeljno poslanstvo prek anonimnih identifikatorjev. Samo dve od teh 30 aplikacij resnično ne zahtevata nobenega osebnega podatka - nemška in tajska.

Tudi islandska aplikacija se je znašla v tistem nadpolovičnem delu tovrstnih aplikacij, ki so po varnostnem pregledu prejele najvišjo stopnjo skupnega tveganja. | Foto: S. C. (zajem zaslona) Tudi islandska aplikacija se je znašla v tistem nadpolovičnem delu tovrstnih aplikacij, ki so po varnostnem pregledu prejele najvišjo stopnjo skupnega tveganja. Foto: S. C. (zajem zaslona)

Tri so (zelo) kritične

Tri aplikacije močno odstopajo po svoji problematičnosti po vseh merilih: turška, britanska (ki so jo ravno te dni začeli preizkušati na otoku Isle of Wight) in ameriška.

Uvrstile so se namreč v najbolj tvegano kategorijo tako po merilih varnega delovanja kot po merilih (ne)varovanja osebnih podatkov.

Turška nacionalna aplikacija se je v preizkusu 30 tovrstnih nacionalnih aplikacij izkazala za najbolj kritično in problematično. | Foto: S. C. (zajem zaslona) Turška nacionalna aplikacija se je v preizkusu 30 tovrstnih nacionalnih aplikacij izkazala za najbolj kritično in problematično. Foto: S. C. (zajem zaslona)

Celo avstrijska aplikacija neupravičeno zahteva osebne podatke

Veliko bolje niso odnesle niti mnoge druge, tudi evropske aplikacije. V najslabši, to je tretji, kategoriji glede (ne)varovanja osebnih podatkov so se poleg prej omenjenih kritičnih aplikacij znašle tudi ena izmed dveh španskih aplikacij (pravzaprav katalonska) ter islandska in avstrijska aplikacija, kjer so ugotovili, da aplikacija zahteva osebne podatke ali obstaja visoko tveganje za pošiljanje stikov ali geolokacije na zunanje strežnike.

Katalonija in Madrid imata vsak svojo aplikacijo, zato sta iz Španije dve, a je katalonska aplikacija precej bolj kritična kot madridska. | Foto: S. C. (zajem zaslona) Katalonija in Madrid imata vsak svojo aplikacijo, zato sta iz Španije dve, a je katalonska aplikacija precej bolj kritična kot madridska. Foto: S. C. (zajem zaslona)

V drugi stopnji tveganja zasebnosti, to so aplikacije, ki zahtevajo osebno telefonsko številko ali v njih obstaja nizko tveganje za pošiljanje stikov ali geolokacije na zunanje strežnike, se je znašlo pet evropskih držav: Severna Makedonija, Poljska, Španija, Češka in Norveška.

Češka aplikacija je med petimi najmanj problematičnimi, a se pri (ne)varovanju osebnih podatkov vendarle uvršča v drugo najbolj kritično kategorijo. | Foto: S. C. (zajem zaslona) Češka aplikacija je med petimi najmanj problematičnimi, a se pri (ne)varovanju osebnih podatkov vendarle uvršča v drugo najbolj kritično kategorijo. Foto: S. C. (zajem zaslona)

Najmanj sporna je nemška aplikacija

Dve evropski aplikaciji, ki najmanj ogrožata zasebnost svojih uporabnikov, a vendarle še zahtevata geolokacijo uporabnikov, kar za sledenje stikov okuženih ni nujen podatek, sta švicarska in nemška.

Nizozemska, Mark Rutte, Hugo de Jonge
Novice Z mobilnima aplikacijama prej do ukinitve omejevalnih ukrepov?

Češka aplikacija se je sicer v skupni uvrstitvi bolje odrezala od švicarske, ker ima manjše število operativnih ranljivosti, a vendarle slabše ravna s podatki kot švicarska aplikacija. Nemška aplikacija je tudi ena od edinih dveh na svetovni ravni, ki ne zahteva nobenega osebnega podatka.

Nemška aplikacija sicer ni brezhibna, a je ena od edinih dveh izmed 30 preizkušanih tovrstnih aplikacij z vsega sveta, ki za svoje delovanje ne zahteva osebnih podatkov, kar je tudi zahteva Evropske komisije glede varovanja osebnih podatkov. Nemška aplikacija se je tudi sicer najbolje odrezala od vseh na varnostnem preizkusu družbe Pradeo Lab. | Foto: S. C. (zajem zaslona) Nemška aplikacija sicer ni brezhibna, a je ena od edinih dveh izmed 30 preizkušanih tovrstnih aplikacij z vsega sveta, ki za svoje delovanje ne zahteva osebnih podatkov, kar je tudi zahteva Evropske komisije glede varovanja osebnih podatkov. Nemška aplikacija se je tudi sicer najbolje odrezala od vseh na varnostnem preizkusu družbe Pradeo Lab. Foto: S. C. (zajem zaslona)

Veliko ranljivosti in nezavarovanih povezav

Tovrstne aplikacije niso niti vzor varnega delovanja: pri skoraj četrtini je visoko tveganje, da naši podatki odhajajo na zunanje strežnike, povprečno število ranljivosti v posamezni aplikaciji je 11, pri čemer ima kuvajtski rekorder kar 26 ranljivosti.

CovidLock
Novice Aplikacija, ki naj bi spremljala epidemijo, je zlonamerni izsiljevalec!

Nič boljše ni niti glede nezavarovanih povezav med delovanjem aplikacij – v povprečju jih je osem po aplikaciji, a najslabša izmed njih ima kar 35 nezavarovanih povezav - to je ameriška aplikacija, ki sicer ni klasična aplikacija sledenja s tehnologijo Bluetooth, temveč aplikacija, ki anketira uporabnike glede njihovega počutja.

Ameriška aplikacija HowWeFeel ne uporablja tehnologije Bluetooth, temveč temelji na anketiranju uporabnikov, a je kljub temu med najslabšimi tako glede varnega delovanja kot tudi glede varovanja zasebnosti in osebnih podatkov. | Foto: S. C. (zajem zaslona) Ameriška aplikacija HowWeFeel ne uporablja tehnologije Bluetooth, temveč temelji na anketiranju uporabnikov, a je kljub temu med najslabšimi tako glede varnega delovanja kot tudi glede varovanja zasebnosti in osebnih podatkov. Foto: S. C. (zajem zaslona)

Bilo bi odlično in zelo koristno, če bi …

Aplikacije za sledenje stikom bi v primeru pravilne in odgovorne rabe gotovo epidemiologom lahko pomagale, da čim prej ugotovijo okužene osebe, predvsem tiste, ki bolezenskih znakov ne kažejo, in potencialno okužene ter s tem krepko pomagale pri prizadevanjih za zajezitev epidemije.

Nacionalne aplikacije za zajezitev širjenja epidemije s covid-19 niso vzor niti glede varnega delovanja niti glede varovanja osebnih podatkov, kažejo ugotovitve družbe Pradeo Lab, ki jih ponazarja ta zemljevid. | Foto: Pradeo Lab Nacionalne aplikacije za zajezitev širjenja epidemije s covid-19 niso vzor niti glede varnega delovanja niti glede varovanja osebnih podatkov, kažejo ugotovitve družbe Pradeo Lab, ki jih ponazarja ta zemljevid. Foto: Pradeo Lab

Seveda je učinkovitost teh aplikacij močno odvisna od množičnosti uporabe – uporabljati bi jih moralo najmanj 60 do 75 odstotkov prebivalstva, ker bi bili v nasprotnem primeru rezultati nepopolni.

A javnost ni prepričana, da bi se te aplikacije uporabljale res samo za ta namen in samo v času, ko bi bilo njihovo izvajanje epidemiološko nujno. Žal pa takšne ugotovljene pomanjkljivosti in nespoštovanja priporočil in pravil, tako glede delovanja kot tudi glede (ne)varovanja osebnih podatkov, dajejo dober razlog za takšne pomisleke.

mobilni telefon
Novice Kako z mobilnimi telefoni zajeziti epidemijo in ne ogroziti zasebnosti

Včasih na to pozabljamo tudi, ko brez tehtnejšega premisleka vsepovprek nameščamo razne aplikacije, tudi takšne, ki zahtevajo več pravic in dostopov, kot jih za svoje delovanje pravzaprav potrebujejo.