COVID-19 √ľlekande s√Ķeluuringu rakendus: millised on peamised k√ľberohud?

Kui valitsused kogu maailmas oma COVID-19 nakkuse s√Ķeluuringu rakendusi k√§ivitavad, kardetakse samaaegselt kaasnevaid ohte. Mitte ainult privaatsusk√ľsimuste √ľle, mida on pidevalt arutatud, vaid ka nende turvalisuse ja seda t√ľ√ľpi teenuste installimise riskide osas. Check Point toob v√§lja neli k√ľberriski, mis v√Ķivad kahjustada kasutajate privaatsust.

Esimene puudutab seadme enda j√§lgimist, kuna m√Ķned rakendused kasutavad funktsioneerimiseks Bluetoothi ‚Äč‚Äčmadala energiatarbega (BLE) signaali v√§ljastamist, mis muudab kontaktide tuvastamise teiste seadmetega lihtsaks. Eksperdid √ľtlevad, et kui rakendamine pole √Ķige, on oht, et k√ľberkurjategijad j√§litavad seadmeid ja p√§√§sevad juurde vastavatele identifitseerimism√§rgendi pakettidele.

Samuti √∂eldakse, et isikuandmeid v√Ķidakse ohustada, kui rakendus salvestab seadmetesse kontaktandmed, kr√ľptitud v√Ķtmed ja muud tundlikud andmed. Seega peaks kasutajate kaitsmiseks see teave olema kr√ľpteeritud ja salvestatud rakenduse turva liivakasti, mitte jagatud aladele. Isegi sel juhul, kui kurjategijatel √Ķnnestub seadmetele f√ľ√ľsilise juurdep√§√§su saamiseks luba saada, v√Ķib see kahjustada andmete privaatsust, n√§iteks kasutajate reise v√Ķi teatud kohtade k√ľlastusi GPS-i kaudu.

Teine tuvastatud oht oli rakenduste liikluse pealtkuulamine. Kasutajad saavad kogeda niinimetatud r√ľnnakut “mees-keskel”, kus kurjategijad saavad seadme ja rakendusserveri vahelist andmeliiklust pealtkuulata, kui side pole √Ķigesti kr√ľptitud.

L√Ķpuks valeteabe levitamine, mida kasutajad saavad tervisearuannete kaudu aktsepteerida. Kontrollpunkti eksperdid j√§tavad hoiatused, mille kontaktirakendus peab autentima, kui teave saadetakse nende serveritesse, n√§iteks kasutajate jagatud diagnostika ja kontaktandmed. Kui autoriseerimist pole, v√Ķib tekkida olukord, kus server “v√Ķltsitakse” v√Ķltsitud tervisearuannetega, mis seab ohtu s√ľsteemi t√∂√∂kindluse.

Check Point √ľtles, et p√§rast esimest √ľlevaatust oli teenus murettekitav. Turvaspetsialistide jaoks on seda t√ľ√ľpi teenuste installimisel ja kasutamisel oluline, et kogutavad, salvestatud ja levitatud andmed s√§ilitaksid privaatsuse ja turvalisuse tasakaalu, et mitte kahjustada kasutajaandmeid. Sellisel juhul tuleks rakendusele juurde p√§√§seda ainult ametlikus poes ja hoida seadmeid pahavarat√Ķrjetarkvaraga kursis.

Ja Portugalis peaks INESC TECi v√§ljat√∂√∂tatav rakendus STAYAWAY COVID k√§ivitama hiljem sel kuul, kuid see ei ole vabastatud Amnesty Internationali t√Ķstatatud probleemidest.