Eksperci cyberbezpieczeństwa wyrażają poważne obawy związane z wdrażaniem aplikacji śledzących kontakty z koronawirusem. Specjaliści firmy Check Point powołują się m.in. na możliwości tropienia urządzeń, naruszenia bezpieczeństwa danych osobowych, przechwytywania ruchu przez aplikacje i generowania fałszywych raportów zdrowotnych. W Polsce tego typu aplikacja – ProteGO Safe, stworzona przez Ministerstwo Cyfryzacji, już w dniu premiery wywołała niemałe kontrowersje, w związku z akcją promocyjną przeprowadzoną przez boty internetowe.
Analitycy firmy Check Point w ostatnim czasie dokładnie badają różnego rodzaju aplikacje stworzone do śledzenia kontaktów międzyludzkich w związku z pandemią Covid-19. Po wstępnym przeglądzie eksperci zgłosili szereg obaw dotyczących sposobu wdrażania aplikacji do śledzenia kontaktów. Badacze przedstawili swoje obawy m.in. w związku z możliwością śledzenia urządzeń przez osoby postronne.
Niektóre z aplikacji bazują na technologii Bluetooth Low Energy (BLE) – urządzenia nadają pakiety typu handshake, które ułatwiają identyfikację kontaktu z innymi urządzeniami. Jeśli nie zostaną one prawidłowo zaimplementowane, hakerzy mogą śledzić urządzenie danej osoby poprzez korelację urządzeń z odpowiednimi pakietami identyfikacyjnymi.
Wspomniane aplikacje przechowują dzienniki kontaktów, klucze szyfrujące i inne poufne dane na urządzeniach. Tego typu dane wrażliwe powinny być zaszyfrowane i przechowywane w tzw. „piaskownicy” (sandbox) aplikacji, a nie w lokalizacjach współdzielonych. Jednak nawet w sandboksie, przy uzyskaniu uprawnień roota lub fizycznego dostępu do urządzenia, dane mogą być zagrożone!
Co więcej, użytkownicy mogą być podatni na ataki „man-in-the-middle” i przechwytywanie ruchu generowanego przez aplikację, jeżeli cała komunikacja z serwerem pomocniczym aplikacji nie będzie prawidłowo zaszyfrowana. Eksperci twierdzą, że ważne jest, aby aplikacje kontaktowe dokonywały odpowiedniego uwierzytelnienia, gdy informacje są wysyłane na serwery, np. gdy użytkownik umieszcza swoją diagnozę i dzienniki kontaktów. Bez niej może się okazać, że serwery zostaną zalane fałszywymi raportami o stanie zdrowia, podważając tym samym wiarygodność całego systemu.
– Nasi eksperci wciąż zastanawiają się, czy aplikacje śledzące kontakty międzyludzkie są rzeczywiście bezpieczne. Po wstępnej ocenie, mamy pewne obawy. Tego typu programy muszą zachować delikatną równowagę między prywatnością a bezpieczeństwem, ponieważ niewłaściwe wdrożenie norm bezpieczeństwa może stanowić poważne zagrożenie dla danych użytkowników. Problem sprowadza się również do pytań o to, jakie dane są gromadzone, jak są przechowywane i w jaki sposób są one rozpowszechniane – mówi Jonathan Shimonovich, menedżer działu badań urządzeń mobilnych w firmie Check Point.
Jak informują przedstawiciele firmy, w najbliższych tygodniach badania nad tego typu aplikacjami będą intensywnie i skrupulatnie prowadzone, by uzyskać pewność, że dane użytkowników pozostaną bezpieczne. Wśród badanych aplikacji jest również ProteGO Safe, zaprezentowana przez polskie Ministerstwo Cyfryzacji.
