Aplikasi pelacakan kontak Pemerintah Prancis mengkonfirmasi semua yang dicurigai: itu adalah bencana dalam hal fungsionalitas dan bahaya dalam hal privasi penggunanya. Sebuah botch yang kami harap akan menjadi contoh agar orang lain tidak jatuh ke dalam kesalahan yang sama.
Kami telah memberi tahu Anda tentang proyek yang telah dilakukan bersama oleh Apple dan Google dan telah berakhir dengan API yang telah mereka sediakan bagi pemerintah di seluruh dunia untuk pengembangan aplikasi pelacakan kontak yang menjamin privasi sebanyak mungkin. Dan yang tentu saja berfungsi sebagaimana mestinya. Meskipun telah menaruhnya di atas piring, beberapa pemerintah, Inggris dan Prancis sebagai pemimpin mereka, telah mengkritik keras kedua perusahaan ini karena ingin memaksakan API mereka dan telah memutuskan untuk berperang sendiri.. Hasilnya tidak bisa lebih buruk, karena aplikasi StopCOVID yang baru saja diluncurkan oleh pemerintah Prancis menunjukkan bahwa ini adalah bencana total. Dan ketika saya mengatakan bencana, saya tidak hanya berbicara tentang operasinya, tetapi juga dalam hal privasi pengguna, seperti yang ditunjukkan oleh beberapa audit yang dilakukan karena aplikasinya bersifat open source dan tersedia untuk analisis.
Salah satu analisa aplikasi StopCOVID yang paling menarik dan menggunakan bahasa yang lebih jelas bagi kita yang belum mengetahui perkembangan aplikasi adalah yang dilakukan oleh Nadim Kobeissi (link) di mana beberapa analisis yang dilakukan oleh badan resmi juga dikutip. Saya meringkas kegagalan terpenting dan masalah privasi yang dikutip dalam artikel ini:
- Penggunaan Bluetooth yang dilakukan oleh aplikasi ini tidak berguna untuk mengetahui secara pasti jarak Anda dari orang lain.
- Di perangkat iOS, karena tidak menggunakan Apple-Google API, Bluetooth dinonaktifkan segera setelah Anda menutup aplikasi, Anda membiarkannya di latar belakang atau mematikan layar iPhone, jadi StopCOVID sama sekali tidak berguna di iPhone.
- Aplikasi tidak menyelesaikan masalah keamanan yang serius dengan Bluetooth yang diselesaikan oleh API Apple dan Google, jadi siapa pun yang menggunakan aplikasi itu rentan terhadap kekurangan itu.
- Terlepas dari kenyataan bahwa pemerintah Prancis menjamin bahwa geolokasi tidak diperlukan, aplikasi meminta izin untuk menggunakan GPS dan dapat menemukan Anda.
- Aplikasi ini membutuhkan pendaftaran pengguna (Bukankah itu anonim?)
- Selama pendaftaran pengguna, sistem ReCaptcha Google digunakan, yang mengirimkan IP dan agen pengguna Anda ke Google, yaitu, anonimitas Anda benar-benar terhapus.
Artikel tersebut mengutip laporan dari Iria (Institut National de Recherche en Informatique et en Automatique) yang merupakan pusat penelitian Perancis yang mengkhususkan diri dalam Ilmu Komputer, Teori Kontrol dan Matematika Terapan. Kesimpulan yang dicapai sangat menghancurkan dalam hal menghormati privasi pengguna, memastikan hal itu tidak satu pun dari persyaratan ini yang terpenuhi:
- Data tersebut harus anonim
- Pasti tidak mungkin untuk menentukan siapa yang menginfeksi siapa
- Pasti tidak mungkin untuk menentukan apakah seseorang sakit atau tidak
- Tidak mungkin untuk membunyikan alarm palsu
- Menggunakan Bluetooth seharusnya tidak menjadi masalah keamanan
- Tidak mungkin mengakses data dalam skala besar
Sangat disayangkan!