Ministerstwo Cyfryzacji udostępniło dzisiaj nową wersję aplikacji ProteGo Safe, czyli oficjalnej polskiej aplikacja służącej do śledzenia kontaktu z koronawirusem. Ta wersja korzysta ze stworzonego przez Apple i Google narzędzia Exposure Notification API.
Niestety, eksperci alarmują, że aplikacja nie zapewnia użytkownikom anonimowości. Być może dlatego nie została jeszcze zaakceptowane przez Apple i nie jest jeszcze dostępna w App Store, a jedynie w Google Play. Również dlatego odradzamy Wam na razie instalację wersji androidowej.
ProteGo Safe z Exposure Notification API
Założenie jest takie, żeby aplikacja anonimowo rejestrowała przy pomocy Bluetooth spotkania z innymi urządzeniami. Dzięki temu, gdy u użytkownika któregoś z nich zostanie potwierdzony COVID-19, będzie on mógł to zaznaczyć w aplikacji i wszyscy, którzy mieli z nim kontakt otrzymają odpowiednie powiadomienie o potencjalnym ryzyku zakażenia.
Tomasz Zieliński, ekspert prowadzący popularny blog Informatyk Zakładowy opisuje, jak z założenia powinna działać aplikacja stworzona z wykorzystaniem Exposure Notification API:
Protokół Exposure Notification został zaprojektowany tak, by informacje pozyskane podczas śledzenia innych urządzeń (cudze tymczasowe identyfikatory odebrane przez Bluetooth Low Energy) nigdy nie opuściły telefonu. Jedyne, do czego użytkownik potrzebuje połączenia z siecią, to codzienne pobranie identyfikatorów nadawanych w minionych dniach przez telefony osób u których potwierdzono infekcję koronawirusem. Te dane przechodzą tylko przez serwery Google i Apple zaś porównanie “listy chorych” identyfikatorów z “listą osobiście spotkanych” identyfikatorów ma miejsce lokalnie wewnątrz urządzenia.
Gdy użytkownik aplikacji zostanie zdiagnozowany pozytywnie, będzie miał możliwość ujawnić i rozesłać swoje identyfikatory tymczasowe z ostatnich dwóch tygodni – jednak najpierw taki komunikat będzie uwierzytelniany kodem PIN przekazanym przez Sanepid. To jedyny moment, w którym aplikacja implementująca Exposure Notification musi się skontaktować z serwerami ministerstwa.
Niestety, okazuje się, że ProteGO Safe wymusza połączenie z internetem i pobranie z serwera modułu wykonawczego. A to, jak wskazuje Informatyk Zakładowy, rodzi szereg problemów związanych z naszą prywatnością: “nie ma mowy o żadnej anonimowości” – operator serwera, czyli Ministerstwo Cyfryzacji, będzie mógł deanonimizować użytkowników, będzie też mógł w każdej chwili podmienić zaufaną aplikację na nową wersję, wyglądającą tak samo, lecz działającą zupełnie inaczej. Zwiększa to też powierzchnię ataku: “udany atak na serwer ministerstwa pozwoli rozesłać złośliwy kod do tysięcy użytkowników ProteGO Safe” – pisze Tomasz Zieliński.
Na możliwość deanonimizacji użytkownika zwraca również uwagę ekspert od ceberbezpieczeństwa Łukasz Olejnik.
Ministerstwo Cyfryzacji będzie w stanie „hipotetycznie” ustalić tożsamość dowolnego użytkownika (i wszystkich z osobna) aplikacji do śledzenia kontaktów #protegosafe? Jeśli tylko zechcą. Hipotetycznie. Można było tak zaprojektować system by nie było takiej możliwości… https://t.co/qocbdH42nH
— Łukasz Olejnik (@prywatnik) June 8, 2020
Jak podkreśla Informatyk Zakładowy, wszystkie zastrzeżenia do najnowszej wersji aplikacji ProteGo Safe staną się nieaktualne, gdy moduł wykonawczy zostanie osadzony w zasobach aplikacji, w pliku APK. I dodaje, że Minister Cyfryzacji, Marek Zagórski, zapowiedział na telekonferencji z twórcami aplikacji, że tak właśnie się stanie.
Jeśli rzeczywiście do tego dojdzie i eksperci nie będą zgłaszali żadnych zastrzeżeń do ProtegoSafe, poinformujemy Was o tym i wtedy będziemy rekomendować instalację aplikacji.
Wsparcie dla Exposure Notification API zostało dodane do iOS w udostępnionej pod koniec maja aktualizacji 13.5.