Aggályosak a koronavírusos kapcsolatkövető appok
Minél több országban vezetnek be nyomkövető mobilalkalmazásokat a koronavírus-járvány megfékezésére, annál több adatvédelmi és kiberbiztonsági aggály övezi felhasználásukat.
Kutatók, kormányok és technológiai cégek versenyeznek számos országban olyan mobilalkalmazások kifejlesztésében, amelyek követik a koronavírus terjedését. Ezek az alkalmazások általában vagy centralizált vagy decentralizált megközelítést követnek. A decentralizált alkalmazások közül a legismertebb az Egyesült Államokban fejlesztett Google-Apple API (erre néha Gapple néven hivatkoznak), amellyel az egészségügyi szervezetek saját alkalmazásukat fejleszthetik ki. A decentralizáció másik prominens modellje a Decentralized Privacy-Preserving Proximity Tracing (DP-3T) protokoll, amelynek alapján európai országok, köztük Németország, Ausztria, Svájc, Litvánia, Észtország, Finnország és Írország fejlesztenek.
A centralizált alkalmazásokra az egyik legjobb példa az Egyesült Királyság kapcsolatfelvételi alkalmazása, amelyet a National Health Services (NHS) technológiai részlege, az NHSX fejlesztett ki (bár egy friss jelentés szerint az ország fontolóra veszi az Apple-Google-féle modell használatát). Kína, amely február óta megköveteli állampolgáraitól a helymeghatározó és állapotfigyelő appok futtatását, ugyancsak jó példa a centralizált alkalmazáshasználatra. További példa a centralizációra Izrael, amely az állam hírszerző szolgálatának telefonkövetési technológiáját használja a Covid-19-cel diagnosztizált emberek mozgásának figyelésére. Ezt a megoldást eredetileg a terroristák nyomon követésére készítették.
Eredendően egyik megközelítés sem jó vagy rossz, bár az alkalmazás fejlesztését és ellenőrzését általában a központi kormányzat kezébe adó centralizált modell a magánélet és a biztonság szempontjából kisebb pontszámot kap, mint a decentralizált megközelítés.
- A központosított megközelítések hozzáférést adnak a hatóságoknak a kockázatok modellezéséhez és elemzéséhez szükséges értékes adatokhoz, hogy megkönnyítsék a vírus terjedésének megértését, fogalmazott a CSO portálnak Polly Sanderson, a Future of Privacy Forum tanácsadója.
A helyzet azonban nem egyértelmű. - A decentralizált megközelítés, legalábbis papíron, jobbnak tűnik, különösen, ha a központi alkalmazás nincs védve vagy titkosítva. Hasonlóképpen a rosszul felépített decentralizált alkalmazás sem jobb, mint egy jól felépített centralizált alkalmazás, állítja David Grout, a FireEye EMEA részlegének technológiai vezetője.
Ami az alkalmazott technológiákat illeti, egyesek a Bluetooth használata mellett érvelnek, mások GPS-szel gyűjtik be a helyadatokat, megint mások mindkettőt használják: az egyik az adatgyűjtésben segít, a másik figyelmeztet, ha túl közel kerülünk olyan személyhez, akinek az előző két héten pozitív volt a koronavírus-tesztje.
Kritikus kérdések
Akár centralizált, akár decentralizált modellről beszélünk, van néhány kritikus probléma a koronavírus-alkalmazások fejlesztése körül. Ezek általában négy kategóriába sorolhatók: interoperabilitás, funkcionalitás, tartósság és hasznosság.
Interoperabilitás: Mivel az egyes országok az eltérő célok elérése érdekében más és más protokollokat használnak, gyakorlatilag garantált, hogy az alkalmazások nem működnek majd együtt. A FireEye kutatói nyolc különféle olyan protokollt találtak, amelyeket a jelenleg használt vagy tervezett nyomkövető appokban alkalmaznak.
Funkcionalitás: Eddig kevés ország vezette be széles körben az alkalmazásokat, és még kevesebb tesztelte őket az indítás előtt. Például az ausztráliai CovidSAFE alkalmazás nem működik megfelelően az iPhone-okon. A Bluetooth adatcseréhez az Apple telefonját fel kell oldani, amikor az előtérben fut az alkalmazás. Ez arra kényszerítette Németországot, hogy a centralizált Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) projektről áttérjen a decentralizált DP-3T megközelítésre.
Tartósság: Felmerül a kérdés, hogy ezek az alkalmazások később is használatban maradnak-e a polgárok más célú megfigyelésére, jóval a koronavírus-válság lecsengése után. A centralizált modellnél fennáll a veszélye a megfigyelés állandóvá válásának. Ez az aggály az Egyesült Királyságban merült fel először május elején, amikor Matthew Gould, az NHSX vezetője arról tájékoztatta a parlament emberi jogi bizottságát, hogy az ország polgárai nem tudják törölni az alkalmazással róluk összegyűjtött adatokat. Tudomása szerint a kormány ráadásul a jövőbeli kutatások számára álnevesítve megtartja az adatokat.
Hasznosság: Megválaszolatlan kérdés, hogy ezek az alkalmazások valóban akadályozzák-e a koronavírus terjedését. A bizonytalanság egy része azok bevezetésének ütemezéséből fakad. Az appok még fejlesztés alatt állnak, és legalább újabb egy-két hónapig eltart, amíg eljutnak a felhasználókhoz. A közegészségügyi szakértők szerint legalább 60 százalékos penetráció kell ahhoz, hogy az appok valóban lassítsák a koronavírus terjedését, vagyis kötelezővé kellene tenni a használatukat. Szingapúrban az áprilisi indulástól kezdve május közepéig csupán a lakosság 20 százalékát sikerült bevonni.
Adatvédelmi biztosítékok
A legtöbb biztonsági szakértő jogi és technikai biztosítékokat vár arra, hogy az alkalmazások adatait nem hasznosítják majd más célokra. - Nem kizárható az a forgatókönyv, hogy az app a telefonunkon marad, és az történik, ami Kínában, hogy általános nyomkövető alkalmazás lesz belőle, mondta Woodward. - Törvényi védelemnek kell biztosítania azt, hogy amint annak használata okafogyottá válik, az app eltűnik a mobilunkról.
Egyelőre kevés országban született olyan törvényi keretrendszer, amely szabályozza vagy korlátozza az összegyűjtött adatok felhasználását, valamint a megfigyelések járvány utáni folytatását, de Ausztrália és az Egyesült Királyság erre törekszik.
Biztonsági kockázatok
Egyelőre az sem világos, hogy a szóban forgó alkalmazások milyen kiberbiztonsági sérülékenységeket tartalmazhatnak. A Google-Apple-féle API kivételével egyetlen alkalmazásnak sem érhető el a teljes forráskódja, márpedig az átláthatósághoz és az elemzéshez erre feltétlenül szükség volna. Sőt Indián, Ausztrálián és Kínán kívül még nem vezették be az alkalmazásokat, így a szakértőknek nem sok fogalmuk lehet arról sem, hogyan működnek. Néhány korai jelentés az ausztráliai COVIDSafe és az indiai Aarogya Setu alkalmazásról arra utal, hogy komoly kiberbiztonsági problémák várhatók.Jim Mussared ausztrál fejlesztő olyan réseket fedezett fel a COVIDSafe-ben, amelyeken keresztül a rosszindulatú támadók határozatlan ideig nyomon követhetik a felhasználót. Elliot Alderson etikus hacker pedig az indiai Aarogya Setu appról állapította meg, hogy könnyen feltörhető, bár az indiai kormány ezt tagadja. A helyzet azonban az, hogy a fejlesztés alatt álló alkalmazások sérülékenységei csak azok bevezetése után leplezhetők le. Célszerű lenne pénzdíjat felajánlani etikus hackereknek, hogy minél több hibát megtaláljanak még a bevezetés előtt.
Forrás:https://computerworld.hu/