Symantec a analizat principalele aplicații de urmărire a contactelor unei persoane în condițiile impuse de pandemie, pentru a vedea care dintre acestea urmează cele mai bune practici de securitate și confidențialitate.
În această nouă eră COVID-19, nu trebuie să ne protejăm doar computerele, ci și pe noi și pe cei dragi. Împreună cu distanțarea socială, purtarea unei măști și spălarea mâinilor, și tehnologia joacă un rol în lupta împotriva pandemiei și este folosită atât de guverne, cât și de organizații din întreaga lume.
Nu toate aplicațiile amintite sunt concepute asemănător, iar o aplicație utilizată de o companie pentru a-și urmări angajații la locul de muncă poate avea obiective diferite de cele ale unei aplicații utilizate de un guvern. Însă toate astfel de aplicații ar trebui să urmeze cele mai bune practici la colectarea datelor și modul în care sunt stocate și utilizate, mai ales că reglementările pot diferi în funcție de țară.
Pentru acest raport, au fost stabilite ce tip de aplicații au fost analizate, cum funcționează, precum și câteva dintre legile și cerințele de utilizare care pot modela aplicațiile de urmărire a contactelor.
Guvern vs privat
Aplicațiile guvernamentale și cele utilizate de companii pot fi foarte diferite. Una guvernamentală trebuie să țină evidența celor contactați de un utilizator și să-l alerteze când are în apropiere o persoană infectată. O aplicație folosită de o companie poate fi destinată să facă același lucru, dar într-o zonă anume, respectiv la locul de muncă.
GDPR
Aplicații pentru Spațiul Economic European (SEE) trebuie să fie în conformitate cu Regulamentul general privind protecția datelor (GDPR), cu principii stricte de confidențialitate și protecție a datelor.
Cum funcționează aplicațiile de urmărire
Aceste aplicații utilizează semnale Bluetooth Low Energy (BLE), trimise de dispozitive mobile, pentru a urmări persoanele și zonele cu care utilizatorul intră în contact. Dacă intră în contact cu un pozitiv, aplicația alertează. La fel, dacă utilizatorul iese pozitiv la un test COVID-19, utilizatorii din apropiere sau cu care a intrat în contact persoana respectivă sunt avertizați. Dezvoltate corect, aplicațiile pot proteja și preveni răspândirea coronavirusului, iar dacă nu, s-ar putea să pună în pericol confidențialitatea și siguranța utilizatorilor.
Utilizatorul ar trebui să primească un cod de identificare aleator, care să nu dezvăluie nicio informație personală, iar aplicația ar trebui să scaneze și să trimită date prin BLE numai către serverele sale.
Poate fi nevoie și de anumite informații pentru ca aplicația să poată funcționa normal, în funcție de cum este utilizată. Dacă este utilizată de o companie pentru angajați, aplicația se poate activa și începe urmărirea utilizatorilor numai într-o anumită zonă stabilită GPS, și să se oprească și să nu trimită informații la ieșirea din zona respectivă.
Și datele Wi-Fi pot fi necesare pentru astfel de acțiuni. Însă, în orice scenariu, utilizatorul trebuie să fie notificat despre colectarea datelor. Orice dată colectată de aplicație trebuie să fie menționată clar și corect în politica de confidențialitate și colectate numai cu confirmarea utilizatorului sau cu consimțământul lor formal, acolo unde legislația locală o impune. Pe de altă parte, o astfel de funcție nu ar fi chiar necesară pentru o aplicație de urmărire a contactelor la nivel național, disponibilă publicului.
Exposure Notification System, dezvoltat de Google și Apple pentru acest tip de aplicații, a fost conceput „astfel ca autoritățile de sănătate publică să adauge tehnologie la operațiunile de urmărire a contactelor existente, fără a compromite confidențialitate și securitate a utilizatorilor”. Deși este un pas înainte pentru confidențialitatea utilizatorilor, se pare că puțini dezvoltatori de aplicații l-au adoptat, dintre toate aplicațiile analizate, doar una a folosit acest sistem.
Rezultate
Symantec a analizat aplicații de urmărire a persoanelor disponibile public în 31 de țări și a identificat comportamentul lor care afectează confidențialitatea și securitatea utilizatorilor.
Opt dintre aplicațiile testate sunt din țări SEE și au fost identificate următoarele probleme:
• Trei din opt (38%) accesează datele de pe dispozitiv unde sunt informațiile personale, potențial expunând identitatea utilizatorilor, încălcând reglementările GDPR;
• Două din opt (25%) nu protejează transmiterea datelor utilizatorilor, expunându-le posibilelor interceptări și atacuri man-in-the-middle (MitM).
Celelalte 23 de aplicații testat, care provin din țări non-SEE, au probleme și mai mari:
• 15 din 23 (65%) accesează informațiile personale din datele de pe dispozitiv, ceea ce este o potențială expunere a identității utilizatorului;
• 14 din 23 (60%) nu protejează transmiterea datelor.
Per ansamblu, diagnosticul e sumbru. Din studiu reiese că peste jumătate din aplicațiile testate, indiferent de țara de proveniență, accesează datele de pe dispozitiv, unde sunt și informații personale, și nu procesul de transmitere a datelor.
Iar asta sugerează că, dacă este utilizată o aplicație din țările non-SEE, riscul la care este supus utilizatorul crește comparativ cu aplicațiile provenite din SEE.
Symantec este una din marile firme de securitate din lume ale cărei produse sunt distribuite în România de compania SolvIT Networks.