Fyra stora farhågor med smittspårningsappar

Pandemin innebär en stor påfrestning för både människor och ekonomier världen över och som bekant har många länder infört försiktighetsåtgärder av olika slag för att bromsa smittspridningen, bland annat med hjälp av smittspårningsapplikationer.

Dessa har utvecklats i hundratals och stöttas av regeringar och hälsomyndigheter i flera länder i världen. I vissa länder har de till och med blivit obligatoriska att använda.

Tekniken och algoritmerna kan skilja sig lite åt mellan apparna, men syftet är oftast detsamma: att kunna upptäcka och spåra vilka man kommit i kontakt med.

Om en person testas positivt kan personer i dess omgivning varnas i appen med hjälp av Bluetooth- och GPS-teknik. Informationen kan delas med andra användare och hälsomyndigheter. Detta väcker självklart frågor om den personliga integriteten och säkerheten, speciellt om informationen skulle missbrukas.

Check Points forskare har granskat applikationerna och pekar på fyra säkerhetsproblem.

  • Enheter kan spåras. Eftersom vissa smittspårningsappar använder Bluetooth Low Energy (BLE) så sänder enheten ut handskakningspaket som underlättar identifieringen när enheten är i kontakt med andra enheter. Om det inte implementeras korrekt kan hackare spåra en persons enhet genom att korrelera enheter och dess identifieringspaket.
  • Personuppgifter kan äventyras. Naturligtvis lagrar applikationerna kontaktloggar, krypteringsnycklar och annan känslig data på enheterna. Känslig information bör krypteras och lagras i applikationen och inte på en delad plattform. Men även de uppgifterna kan ändras med hjälp av administratörsrättigheter eller fysisk åtkomst till enheten, speciellt om känslig information som GPS-platser lagras.
  • Avlyssning av en applikations trafik. Användare kan utsättas för “man-in-the-middle”-attacker och avlyssning av applikationens trafik om all kommunikation med applikationens backend-server inte är korrekt krypterad.
  • Uppsjö av falska hälsorapporter möjligt. Forskare säger att det är viktigt att smittspårningsappar utför autentisering när information skickas till dess servrar, till exempel när en användare publicerar sin diagnos och kontaktloggar. Utan lämpligt godkännande kan servrarna översvämmas med falska hälsorapporter, vilket undergräver hela systemets tillförlitlighet.

    – Granskningen visar att flera smittspårningsappar inte kan garantera den personliga integriteten och säkerheten, vilket är allvarligt, säger Mats Ekdahl hos Check Point. Mig veterligen finns det ingen officiell smittspårningsapp i Sverige och Folkhälsomyndigheten har bland annat pekat ut den bristande säkerheten som ett stort problem. Det är en klok insikt eftersom säkerheten utgör grunden och är viktig för tillförlitligheten för att appen ska fylla sin funktion och inte riskera att bli missbrukad.