Управление распространением вируса или потеря приватности?
Пандемия COVID-19 привела к огромным экономическим и человеческим потерям во всем мире. Многие страны ввели ряд мер безопасности: закрыли школы, рестораны, торговые центры, границы, обязали людей носить маски и перчатки в общественных местах.
Подобные меры с массовым тестированием помогли сдержать скорость и уровень заражения. Тем не менее, нет стран, которые не пострадали.
Как только обнаруживается, что человек заражен, врачи сразу стараются узнать, с кем он контактировал за последнее время: эти люди могли заразиться или являются носителями. Для этого во многих странах при поддержке правительств и министерств здравоохранения разрабатывались сотни мобильных приложений. Приложения руководствовались принципами ЕС и специальными протоколами, разработанных двумя основными производителями ОС –– Apple и Google. Приложения пытались отследить всех, с кем контактировал зараженный человек. В некоторых странах подобные приложения нужно использовать всем, кто хочет находиться в общественных местах.
Технологии и алгоритмы различаются в разных приложениях, но возможности большинства подобных приложений одинаковы:
Возможность обнаруживать тесный контакт между людьми (в радиусе нескольких метров) в течение определенного периода времени. У разных приложений параметры немного отличаются, но, как правило, временной интервал составляет около 15 минут.
Если у человека положительный тест на коронавирус, приложение уведомит других пользователей, которые оказались в непосредственной близости.
Информация о контактах передается местным органам здравоохранения или другим пользователям. Такая система действительно может быть эффективна, но только при условии, что подобные приложения установлены у большого количества пользователей.
Подобные наблюдения вызывают много вопросов, касающихся конфиденциальности данных людей, к которым приложение может получить доступ, и потенциального злоупотребления этими данными.
Главные вопросы сводятся к тому, какие данные собираются, как они хранятся и как они распространяются. Другой аспект — согласие пользователя. Предоставляет ли пользователь свои данные добровольно или данные собираются и загружаются без каких-либо оповещений?
Эксперты Check Point разобрали, как работают подобные приложения и как они решают вопрос с безопасностью.
Какие технологии используются
Определить местоположение двух устройств можно двумя способами. Первый –– по GPS, второй –– с использованием Bluetooth Low Energy (BLE).
GPS: Приложения периодически получают информацию о GPS-положении других пользователей и сохраняют время и место. Эти данные могут позже пересекаться с журналами местоположений других пользователей.
Такой подход позволяет анализировать географию распространения инфекции и предоставляет государственным органам и органам здравоохранения больше возможностей для локализации зараженных регионов и применения соответствующих мер профилактики. Тем не менее, такой метод также предоставляет очень личную информацию, показывая перемещения людей за предыдущие несколько дней или недель.
Примерами мобильных приложений, использующих GPS-регистрацию, являются SafePaths MIT, кипрский CovTracer (основанный на SafePaths), израильский Hamagen и индийский Aarogya Setu.
Bluetooth Low Energy (BLE): здесь каждое устройство транслирует эхо-запросы по BLE. Эхо-сигналы регистрируются другими устройствами, которые находятся в диапазоне Bluetooth, в зависимости от длительности и уровня сигнала. Для работы на обоих устройствах должно быть запущено приложение для отслеживания перемещений.
Эта технология широко используется в приложениях для отслеживания коронавирусных контактов, поскольку она обеспечивает большую конфиденциальность –– единственная информация, обычно передаваемая по Bluetooth, это криптографический идентификатор, который часто изменяется и не раскрывает личность пользователя. Кроме того, BLE рандомизирует MAC-адреса, отправленные в пакете по радиоканалу, и меняет их каждые несколько минут, что также затрудняет отслеживание устройств.
Если у человека положительный тест на COVID-19, он может опубликовать все идентификаторы, собранные рядом с ним. Затем другие пользователи могут выяснить, когда и как долго они находились рядом с зараженным человеком. Поскольку идентификаторы являются анонимными, только конечный пользователь может присоединить их к своему устройству.
Недостатком этого подхода является невозможность географического определения инфекции. Несмотря на это, BLE является самым распространенным методом. Приложения, использующие BLE –– британский «NHS COVID-19», сингапурский TraceTogether и австралийский COVIDSafe.
Как соблюдается анонимность
Другим важным моментом в сохранении конфиденциальности является то, может ли приложение, работающее на устройстве, быть соотнесено с реальным пользователем. Чтобы сохранить анонимность пользователя, никакие личные идентификаторы (номер телефона, имя и прочее) не должны быть связаны с приложением. Это достигается за счет использования криптографических ключей, которые часто меняются и служат идентификаторами пользователей, передаваемыми по беспроводной связи (через Bluetooth или интернет-соединения).
Обычно приложение получает одноразовый случайный уникальный ключ во время установки / регистрации, и этот ключ используется для получения вращающихся криптографических идентификаторов, которые передаются по Bluetooth и загружаются на серверы.
Какие проблемы безопасности могут возникнуть у таких приложений
- Отслеживание устройств:
Когда используется технология Bluetooth, устройства передают пакеты по беспроводной сети. Эти пакеты содержат уникальные / криптографические идентификаторы для облегчения регистрации контакта другими устройствами.
Тот, кто слушает эти трансляции, не должен иметь возможности сопоставлять идентификаторы и устройства. Встроенный в технологию BLE MAC-адрес отправляемых пакетов периодически рандомизируется для защиты от отслеживания устройства.
- Существование надежного хранилища
Приложения хранят журналы контактов, ключи шифрования и другие конфиденциальные данные на устройствах. Конфиденциальные данные должны быть зашифрованы и храниться в изолированной программной среде приложения, а не в общих местах. Даже внутри песочницы получение корневых привилегий или физический доступ к устройству может поставить под угрозу данные, особенно если хранится такая конфиденциальная информация, как местоположение GPS.
- Фейковые отчеты
Важно, чтобы приложения выполняли аутентификацию, когда информация отправляется на его серверы, например, когда пользователь публикует журналы контактов. Без надлежащей авторизации можно было бы заполнить серверы поддельными отчетами и подорвать надежность всей системы.
- Шифр сообщений
Чтобы избежать возможности атак типа «человек посередине» и перехвата трафика приложения, все соединения с внутренним сервером приложения должны быть зашифрованы.
Если смотреть на то, сколько человек скачали приложения в той или иной стране, лидирует индийское приложение Aarogya Setu –– из Google Play Store его установило более 100 миллионов пользователей. В значительной степени это произошло потому, что сотрудники государственных и частных компаний в Индии обязаны его использовать.
Приложение Gerak Malaysia имеет более миллиона загрузок из Google Play Store; сингапурский TraceTogether и австралийский COVIDSafe имеют более 500 000 загрузок каждый.
В Европе британское приложение NHS COVID-19 должно быть развернуто по всей стране, но пока только тестируется на острове Уайт –– в настоящее время оно имеет более 50000 загрузок. Австрийское приложение Stopp Corona было загружено более 100 000 раз, как и Smittestopp из Норвегии.
Германия и Франция еще не выпустили приложение, но планируют сделать это в ближайшее время.
Похоже, что приложения для отслеживания контактов с зараженными будут широко использоваться. Но для того, чтобы они были успешными, важно, чтобы люди полностью верили, что их конфиденциальность сохраняется, а их данные защищены от неправомерного использования.
С выпуском Google & Apple «Notification Framework» мы ожидаем, что будет выпущено больше приложений, основанных на этом подходе, и что некоторые существующие приложения перейдут на этот подход.
Тем не менее, разработчики приложений по-прежнему должны соблюдать стандарты, внедряя их безопасным образом. Мы настоятельно рекомендуем правительственным учреждениям полагаться на надежные протоколы, например на те, которые упомянуты выше, и предлагать их приложениям с открытым исходным кодом, чтобы повысить доверие пользователей.
Рекомендации
Во время пандемии уже было обнаружено несколько фейковых приложений. Мы рекомендуем пользователям устанавливать приложения COVID-19 для отслеживания контактов только из официальных магазинов приложений, поскольку они разрешают публиковать такие приложения только уполномоченным государственным органам.
Кроме того, мы рекомендуем пользователям загрузить и установить решение для обеспечения безопасности мобильных устройств, чтобы сканировать приложения и защищать устройство от вредоносных программ, а также проверять, что устройство не было взломано.