Hlavní navigace

DSL.sk: Slovenská aplikace ZostanZdravy posílá data státu a obsahuje chybu

Sdílet

Karel Wolf 27. 4. 2020

Slovenská mobilní aplikace ZostanZdravy, kterou slovenský stát sdílí a doporučuje jako oficiální nástroj pro boj s koronavirem způsobujícím onemocnění COVID-19, odesílá kontakty na centrální servery a obsahuje chybu, která znehodnocuje sbíraná data. Píše to slovenský technologický portál Dsl.sk, který aplikaci analyzoval.

Hlavním účelem aplikace, kterou pro stát vyvinuli dobrovolníci, je pomoci vyhledávat předchozí kontakty podchycených nakažených. Dosahuje toho tak, že se přes aktivní Bluetooth snaží identifikovat další uživatele v okolí.

Aplikace přes Bluetooth LE opakovaně vysílá pseudonymizovaný identifikátor profilu uživatele. Pomocí neustálého přijímání těchto identifikátorů od jiných zařízení vyhodnocuje kontakty s dalšími uživateli, které jsou delší než stanovený limit (5 minut). Pokud následně dojde k pozitivnímu testu některého z uživatelů na nový koronavirus, aplikace poskytne takto nasbírané kontakty infikovaného z posledních dní.

Aplikace toho dosahuje tak, že automaticky odesílá na servery státu všechny identifikované kontakty všech uživatelů aplikace, které přesáhnou daný stanovený limit. Posílaná data tvoří ID profilu uživatele a jeho kontaktů, přesný čas a délka setkání. ID profilu je přitom unikátní identifikátor přidělovaný státem při registraci aplikace na obsluhujících serverech. Z principu tak hrozí relativně snadná deanonymizace dat, neboť do procesu nevstupuje žádný mechanismus, který by jí mohl zabránit. Na to, že všechna data odesílá, navíc aplikace uživatele výslovně neupozorňuje, píše DSL.sk

„Tyto informace za pomoci dalších informací umožňují identifikovat minimálně část jednotlivých uživatelů a následně i jejich kontakty. Daný způsob fungování je navíc zcela nepřiměřený svému účelu, kterého by šlo dosáhnout i bez takovéhoto potenciálního zásahu do soukromí,“ píše server. 

Jako příklad lepšího řešení uvádí mimo jiné českou eRoušku, která ukládá kontakty jen do telefonu a uživatel je musí v případě, že se nakazí, sám aktivně odeslat hygienikům. Přechod na tento princip tvůrci aplikace podle DSL.sk zvažují.

Aplikace má podle DSL.sk navíc i jiný problém. Jedná se čistě o programátorskou chybu, která se navíc nalézá jen ve verzi pro Android. Aplikace podle serveru vysílá identifikátor v podobě čtyř bajtů ve vysílané zprávě. Android verze aplikace ale identifikátor z těchto bajtů počítá chybným způsobem, takže podle odhadu asi u poloviny profilů vypočte špatné číslo profilu. Chyba má být zřejmě v nejnovější verzi aplikace opravena.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 28. 4. 2020 2:17

    bez přezdívky

    tak to je úžasná zpráva (bez sarkasmu).. PRESNE z těchto důvodů se lidé nenechají či spíše "budo mít zásadní obavy" ze zapojení do chytré karantény...

    a proč? vždyť přeci v TV vláda a "odborníci" každý den tvrdí, že to nebude vést k nějakému sběru osobních dat..

    a] nikdo z členů z vlády není a nebyl programátor a jen "papouškují" to, co jim někdo řekl
    b) nikdo z vlády - jak je vidět - IT problematice opravdu nerozumí
    c) stačí se podívat, jak se tzv. "vládní usnesení" mění každou chvíli, jak je NAPROSTO NEMOZNE dohnat k zodpovědnosti za nesprávný úřední postup jakéhokoliv státního úředníka, neboť se budete i v případě žaloby točit v nekonečném kruhu ".. žádost přijal úředník X (neměl pravomoc ji odsouhlasit, jen přijmout)- -> postoupil vedoucímu oddělení (také neměl pravomoc odsouhlasit) - > žádost postoupena na příslušné ministerstvo - > náměstek opomněl žádost řádně v termínu předat k posouzení, časový limit vypršel, žadatel nezná celou historii.. takže může max. žalovat první subjekt (často místně příslušný úřad, který za nic nemůže¨)

    .. žaloba podána, po 3 letech se zjistí, že příslušný náměstek na ministerstvu XX prokazatelně porušel svým opomenutím zákonné předpisy. Už tam ale nepracuje, protože před dvěma lety přestoupil do soukromé sféry.. náhradu škody / kompenzaci tedy budete uplaťnovat kde? ..

    a to je celý princip státní sféry a její svévole.. úřednický zákon nic neřeší, jen v tomto směru nadále uvolňuje ruce státem zaměstnaných nemakačenků a neschopů, kteří by v soukromé sféře byli již ve zkušební době vyhozeni.