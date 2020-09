Riziko provázání identifikátorů

Návrh ENS a eRoušky počítá s rizikem, že by mohla existovat třetí strana, která by na jednom či více místech sledovala komunikaci okolních telefonů přes Bluetooth, tuto komunikaci by zaznamenávala a pokoušela by se ze záznamů odvodit identitu nebo jiné informace o uživatelích.

Ochrana proti takovému pasivnímu sledování byla součástí eRoušky už od verze 1.0, a to v podobě pravidelného vyměňování vysílaných identifikátorů (tehdy označovaných jako TUID). Ve verzi 2.0 je interval výměny kratší, a navíc je synchronizován s výměnou Bluetooth adresy (na zařízeních, která to podporují), čímž je minimalizováno okno pro možné sledování zdravých uživatelů. I pokud by došlo k jednorázovému prozrazení klíče TEK, dojde v telefonu nejpozději za 24 hodin k vygenerování nového klíče, který není nijak vázán na předchozí klíče, takže není možné uživatele sledovat trvale.

Právě 24hodinová platnost klíčů TEK zůstává nejpalčivějším problémem nového systému, protože pro vyhodnocení rizikových kontaktů je nutné, aby nakažený uživatel (dobrovolně) nasdílel všechny TEK ze svého infekčního období.

Jak ukazuje analýza od EFF, lze zveřejněný TEK zneužít ke zpětnému provázání všech RPI vysílaných jednou eRouškou za 24 hodin. Nekalý obchodník s jedním Bluetooth senzorem by tak dokázal zjistit, kolikrát za den navštívil jeho obchod stejný nakažený člověk. Jiný příklad, který už předpokládá útočníka s dostatečnými prostředky na vybudování sledovací infrastruktury po celém městě, by umožnil získat trasu nakaženého člověka za celý den, což by mohlo odhalit jeho bydliště nebo navštívené podniky.

Plošným řešením by mohlo být zkrátit platnost TEK například na hodinu, ale znamenalo by to zvětšení objemu přenášených dat, v tomto případě na 24násobek. Jde tedy o důsledek kompromisu. Server má dále odpovědnost chránit soukromí nakažených uživatelů tím, že řádně promíchá seznam všech TEK nashromážděných za dané období, aby nebylo možné provázat klíče jednoho uživatele přes více dní.

Riziko pasivního sledování může uživatel dále snížit tím, že nebude mít eRoušku zapnutou 24 hodin denně, ale bude ji vypínat například doma. Odesílání dat nakažených uživatelů navíc není povinné, takže je možné eRoušku používat i pasivním způsobem a stále dostávat upozornění na riziková setkání, byť se tím snižuje efektivita celého systému.

Je dlužno říct, že k pasivnímu sledování se dá zneužít nejen eRouška, ale také například Wi-Fi signál z telefonu, a také lze polohu uživatele sledovat aktivně skrz polohové služby operačního systému, což využívá například aplikace Mapy.cz.

Přetrvávající rizika

Stále je pro provoz eRoušky potřeba mít zapnutý Bluetooth, což může zvýšit riziko pasivního sledování a oslabit bezpečnost telefonu, zejména pokud jde o starší model.

Také je stále používána služba Google Firebase. Do její databáze už se neukládají telefonní čísla uživatelů, ale stále se ukládají informace o výrobci a modelu telefonu, o verzi a jazykovém nastavení operačního systému a také o tom, kdy uživatel naposledy dostal notifikaci o rizikovém kontaktu. Podle podmínek používání nejsou tyto informace vázány na žádné osobní identifikátory, ale pouze na tzv. eHRID, což je pseudonymní identifikátor instalace eRoušky a slouží pouze k administrativním a statistickým účelům. I když sběr těchto dat není vyžadován Applem ani Googlem, je do eRoušky naprogramován napevno a není možné jej vypnout. Implementační detaily jsou veřejně dostupné ve zdrojovém kódu pro Android i pro iOS.

Data o setkáních by měla zůstat uložena pouze v telefonu; pokud by byla shromažďována centrálně, bylo by z nich možné zrekonstruovat sociální vazby mezi uživateli. Proto je vhodné provozovat eRoušku na řádně aktualizovaném operačním systému a mít se na pozoru, pokud by se například policejní složky méně svobodných států domáhaly dat z telefonů turistů. V eRoušce bohužel chybí možnost selektivně smazat data, ale v případě potřeby je možné aplikaci odinstalovat, čímž se smažou všechna uložená data.

Nové nedostatky

I když eRouška nesleduje polohu uživatele a nově ani nevyžaduje oprávnění ke sledování polohy, na telefonech s operačním systémem Android bude vyžadovat zapnutí polohových služeb, což může nepřímo umožnit firmě Google určit polohu uživatele pomocí GPS, pokud uživatel nezakáže zjišťování přesné polohy v nastavení.

Nově je také nutné eRoušce dovolit alespoň jednou denně stáhnout klíče nakažených uživatelů ze serveru. Sama upozorní, pokud by se jí delší dobu nedařilo stáhnout aktuální data.

Ukládání dat na serveru

Specifikace ENS umožňuje každé aplikaci použít server dle svého uvážení; v případě české eRoušky zvolili vývojáři Google Cloud.

Jediné, co se na serveru ukládá, jsou klíče TEK nakažených uživatelů. Nemá smysl chránit tato data před únikem, neboť si je může stáhnout kdokoliv s nainstalovanou eRouškou, a jde tedy z principu o veřejné informace.

Závěr

I přes pár nových nedostatků se celková ochrana soukromí v eRoušce 2.0 zlepšila.

Na základě naší analýzy jsme došli k přesvědčení, že pro velkou skupinu uživatelů nepředstavuje používání eRoušky žádné významné narušení soukromí. Do této skupiny patříte, pokud používáte moderní chytrý telefon s operačním systémem Android (s Google Play) nebo iOS, jste zvyklí mít zapnutý Bluetooth (třeba kvůli bezdrátovým sluchátkům), máte zapnuté polohové služby a jste připraveni v případě rizikového kontaktu spolupracovat s hygieniky. V takovém případě doufáme, že vás náš článek ubezpečil o tom, že eRoušku můžete s klidem používat až do doby, než bude pandemie COVID-19 překonána.

Na druhou stranu si uvědomujeme, že existují lidé, pro které jsou rizika popsaná v tomto článku významná, popřípadě lidé, kteří používají jiné operační systémy nebo jsou zvyklí některé potřebné služby operačního systému vypínat. Je proto pochopitelné, že tito lidé eRoušku používat nebudou, a považujeme za správné, aby používání eRoušky a podobných mobilních aplikací bylo i nadále založeno na svobodném rozhodnutí každého člověka.