Hlavní navigace

Jak eRouška 2.0 chrání soukromí uživatelů?

30. 9. 2020
Doba čtení: 7 minut

Sdílet

 Autor: Depositphotos
Pro velkou skupinu uživatelů nepředstavuje používání eRoušky žádné významné narušení soukromí, říká analýza sdružení Iuridicum Remedium.

Mobilní aplikaci eRouška, která má zpomalit šíření nákazy COVID-19 v Česku, jsme věnovali pozornost už v květnu 2020, kdy jsme ocenili důraz této aplikace na soukromí uživatelů, ale také jsme popsali její potenciální rizika a nedostatky.

V polovině září eRouška povýšila na verzi 2.0 a významně při tom změnila své chování. Připravili jsme si proto aktualizovanou zprávu o tom, jaké jsou dopady používání eRoušky na vaše soukromí a co se v tomto ohledu změnilo od verze 1.0.

Naším cílem v tomto článku není hodnotit potenciální přínos aplikace v boji s pandemií s ohledem na množství lidí, kteří ji budou využívat, ačkoli jde samozřejmě o faktor zcela zásadní. Soustředíme se na zhodnocení jejího fungování a případných bezpečnostních rizik z pohledu ochrany soukromí tak, aby se každý mohl informovaně rozhodnout.

Princip fungování

Když je eRouška 2.0 zapnutá, každých 24 hodin generuje náhodný klíč TEK (Temporary Exposure Key), ukládá ho v telefonu, z něj pak kryptograficky generuje identifikátory RPI (Rolling Proximity Identifier) a každý z těchto identifikátorů vysílá po dobu 10–20 minut do svého okolí pomocí Bluetooth LE. Zároveň sleduje a zaznamenává RPI vysílané ostatními zařízeními v okolí.

Pokud má uživatel pozitivní test na COVID-19, dostane od hygieniků autorizační kód, pomocí nějž může dobrovolně nahrát 14denní historii TEK ze své eRoušky na server, odkud si ji stáhnou eRoušky ostatních uživatelů a vyhodnotí, zda mezi uživateli došlo k rizikovému kontaktu. Celý proces ilustruje infografika na webových stránkách eRoušky.

Výše uvedené chování je dáno systémem oznámení o možném kontaktu (Exposure Notifications System, ENS), který společně vytvořily firmy Apple a Google. Na tomto systému staví jak nová eRouška, tak i různé zahraniční aplikace podobného charakteru. Základ je podobný projektu Covid Watch a také projektu DP^3T, konkrétně variantě „Hybrid decentralized proximity tracing“. (Nejedná se o plnou decentralizaci ve smyslu peer-to-peer sítě, ale je minimalizováno množství informací poskytnutých centrálnímu serveru.) Vlastnosti a rizika tohoto systému již mimo jiné podrobně analyzovala organizace Electronic Frontier Foundation (EFF).

Aby mohla aplikace využívat ENS, musí být schválena Applem a Googlem (v každé zemi bude vždy schválena nanejvýše jedna aplikace), musí dodržovat přísná pravidla (nesmí například sbírat uživatelská data za účelem cílení reklamy) a musí využívat Bluetooth skrze specializované Exposure Notifications API (které například vynucuje výměnu identifikátorů v daných intervalech).

eRouška 2.0 – jak vypadá, jak funguje a co umí? Podívejte se:

Vylepšená ochrana soukromí

Díky použití ENS jsou vyřešeny hlavní nedostatky ochrany soukromí v eRoušce 1.0.

Riziková setkání se nyní vyhodnocují přímo v jednotlivých telefonech a zobrazují se uživatelům formou notifikace. Hygienikové ani lékaři se o této notifikaci nedozví, dokud je uživatel sám nekontaktuje. Díky tomu není potřeba při aktivaci eRoušky zadávat telefonní číslo ani jakékoliv jiné kontaktní údaje.

Nově se také identifikační údaje (TEK a RPI) ukládají pouze v telefonu, dokud se nakažený uživatel sám nerozhodne své údaje nahrát na server. Hygienikové tedy nemají možnost spárovat RPI (zdravého) uživatele s telefonním číslem ani nedokáží určit, že dva různé RPI patří stejnému (zdravému) uživateli. Nemají přístup ani k informacím o setkáních mezi uživateli, protože ta se z telefonu na server nikdy neposílají (na rozdíl od eRoušky 1.0).

Riziko provázání identifikátorů

Návrh ENS a eRoušky počítá s rizikem, že by mohla existovat třetí strana, která by na jednom či více místech sledovala komunikaci okolních telefonů přes Bluetooth, tuto komunikaci by zaznamenávala a pokoušela by se ze záznamů odvodit identitu nebo jiné informace o uživatelích.

Ochrana proti takovému pasivnímu sledování byla součástí eRoušky už od verze 1.0, a to v podobě pravidelného vyměňování vysílaných identifikátorů (tehdy označovaných jako TUID). Ve verzi 2.0 je interval výměny kratší, a navíc je synchronizován s výměnou Bluetooth adresy (na zařízeních, která to podporují), čímž je minimalizováno okno pro možné sledování zdravých uživatelů. I pokud by došlo k jednorázovému prozrazení klíče TEK, dojde v telefonu nejpozději za 24 hodin k vygenerování nového klíče, který není nijak vázán na předchozí klíče, takže není možné uživatele sledovat trvale.

Právě 24hodinová platnost klíčů TEK zůstává nejpalčivějším problémem nového systému, protože pro vyhodnocení rizikových kontaktů je nutné, aby nakažený uživatel (dobrovolně) nasdílel všechny TEK ze svého infekčního období.

Jak ukazuje analýza od EFF, lze zveřejněný TEK zneužít ke zpětnému provázání všech RPI vysílaných jednou eRouškou za 24 hodin. Nekalý obchodník s jedním Bluetooth senzorem by tak dokázal zjistit, kolikrát za den navštívil jeho obchod stejný nakažený člověk. Jiný příklad, který už předpokládá útočníka s dostatečnými prostředky na vybudování sledovací infrastruktury po celém městě, by umožnil získat trasu nakaženého člověka za celý den, což by mohlo odhalit jeho bydliště nebo navštívené podniky.

Plošným řešením by mohlo být zkrátit platnost TEK například na hodinu, ale znamenalo by to zvětšení objemu přenášených dat, v tomto případě na 24násobek. Jde tedy o důsledek kompromisu. Server má dále odpovědnost chránit soukromí nakažených uživatelů tím, že řádně promíchá seznam všech TEK nashromážděných za dané období, aby nebylo možné provázat klíče jednoho uživatele přes více dní.

Riziko pasivního sledování může uživatel dále snížit tím, že nebude mít eRoušku zapnutou 24 hodin denně, ale bude ji vypínat například doma. Odesílání dat nakažených uživatelů navíc není povinné, takže je možné eRoušku používat i pasivním způsobem a stále dostávat upozornění na riziková setkání, byť se tím snižuje efektivita celého systému.

Je dlužno říct, že k pasivnímu sledování se dá zneužít nejen eRouška, ale také například Wi-Fi signál z telefonu, a také lze polohu uživatele sledovat aktivně skrz polohové služby operačního systému, což využívá například aplikace Mapy.cz.

Přetrvávající rizika

Stále je pro provoz eRoušky potřeba mít zapnutý Bluetooth, což může zvýšit riziko pasivního sledování a oslabit bezpečnost telefonu, zejména pokud jde o starší model.

Také je stále používána služba Google Firebase. Do její databáze už se neukládají telefonní čísla uživatelů, ale stále se ukládají informace o výrobci a modelu telefonu, o verzi a jazykovém nastavení operačního systému a také o tom, kdy uživatel naposledy dostal notifikaci o rizikovém kontaktu. Podle podmínek používání nejsou tyto informace vázány na žádné osobní identifikátory, ale pouze na tzv. eHRID, což je pseudonymní identifikátor instalace eRoušky a slouží pouze k administrativním a statistickým účelům. I když sběr těchto dat není vyžadován Applem ani Googlem, je do eRoušky naprogramován napevno a není možné jej vypnout. Implementační detaily jsou veřejně dostupné ve zdrojovém kódu pro Androidpro iOS.

Data o setkáních by měla zůstat uložena pouze v telefonu; pokud by byla shromažďována centrálně, bylo by z nich možné zrekonstruovat sociální vazby mezi uživateli. Proto je vhodné provozovat eRoušku na řádně aktualizovaném operačním systému a mít se na pozoru, pokud by se například policejní složky méně svobodných států domáhaly dat z telefonů turistů. V eRoušce bohužel chybí možnost selektivně smazat data, ale v případě potřeby je možné aplikaci odinstalovat, čímž se smažou všechna uložená data.

Nové nedostatky

I když eRouška nesleduje polohu uživatele a nově ani nevyžaduje oprávnění ke sledování polohy, na telefonech s operačním systémem Android bude vyžadovat zapnutí polohových služeb, což může nepřímo umožnit firmě Google určit polohu uživatele pomocí GPS, pokud uživatel nezakáže zjišťování přesné polohy v nastavení.

Nově je také nutné eRoušce dovolit alespoň jednou denně stáhnout klíče nakažených uživatelů ze serveru. Sama upozorní, pokud by se jí delší dobu nedařilo stáhnout aktuální data.

Ukládání dat na serveru

Specifikace ENS umožňuje každé aplikaci použít server dle svého uvážení; v případě české eRoušky zvolili vývojáři Google Cloud.

Jediné, co se na serveru ukládá, jsou klíče TEK nakažených uživatelů. Nemá smysl chránit tato data před únikem, neboť si je může stáhnout kdokoliv s nainstalovanou eRouškou, a jde tedy z principu o veřejné informace.

Závěr

I přes pár nových nedostatků se celková ochrana soukromí v eRoušce 2.0 zlepšila.

WT100_tip_Insat

Na základě naší analýzy jsme došli k přesvědčení, že pro velkou skupinu uživatelů nepředstavuje používání eRoušky žádné významné narušení soukromí. Do této skupiny patříte, pokud používáte moderní chytrý telefon s operačním systémem Android (s Google Play) nebo iOS, jste zvyklí mít zapnutý Bluetooth (třeba kvůli bezdrátovým sluchátkům), máte zapnuté polohové služby a jste připraveni v případě rizikového kontaktu spolupracovat s hygieniky. V takovém případě doufáme, že vás náš článek ubezpečil o tom, že eRoušku můžete s klidem používat až do doby, než bude pandemie COVID-19 překonána.

Na druhou stranu si uvědomujeme, že existují lidé, pro které jsou rizika popsaná v tomto článku významná, popřípadě lidé, kteří používají jiné operační systémy nebo jsou zvyklí některé potřebné služby operačního systému vypínat. Je proto pochopitelné, že tito lidé eRoušku používat nebudou, a považujeme za správné, aby používání eRoušky a podobných mobilních aplikací bylo i nadále založeno na svobodném rozhodnutí každého člověka.

Autor článku

Nevládní nezisková organizace prosazující základní svobody člověka v digitálním i skutečném životě a dostupnost práva a spravedlnosti všem. Organizuje mimo jiné soutěž Big Brother Awards.