Приложение для отслеживания контактов правительства Франции подтверждает все подозрения: это катастрофа с точки зрения функциональности и опасность с точки зрения конфиденциальности пользователей. Ошибка, которая, как мы надеемся, послужит примером, чтобы другие не впали в ту же ошибку..
Мы уже рассказывали вам о совместном проекте Apple и Google, который завершился созданием API, который они предоставили правительствам по всему миру для разработки приложения для отслеживания контактов, максимально гарантирующего конфиденциальность. И что конечно работает как надо. Несмотря на то, что они положили это на блюдо, некоторые правительства, Соединенное Королевство и Франция во главе с ними жестко раскритиковали эти две компании за желание навязать свои API и решили вести войну самостоятельно.. Результат не может быть хуже, поскольку приложение StopCOVID, которое только что запустило французское правительство, показывает, что это полная катастрофа. И когда я говорю о катастрофе, я говорю не только о его работе, но и о конфиденциальности пользователей, как показали несколько проведенных аудитов, поскольку приложение имеет открытый исходный код и доступно для анализа.
Один из наиболее интересных анализов приложения StopCOVID, использующий более понятный язык для тех из нас, кто не разбирается в разработке приложений, - это анализ, проведенный Надимом Кобейси (ссылка), который также цитирует различные анализы, проведенные официальными органами. Я резюмирую наиболее важные сбои и проблемы конфиденциальности, которые цитируются в этой статье.:
- Использование Bluetooth в этом приложении не помогает узнать точное расстояние, на котором вы находитесь от другого человека.
- На устройствах iOS, если вы не используете Apple-Google API, Bluetooth отключается, как только вы закрываете приложение, вы оставите его в фоновом режиме или выключите экран iPhone, поэтому StopCOVID совершенно бесполезен на iPhone.
- Приложение не устраняет серьезную брешь в безопасности с Bluetooth которую решает API Apple и Google, поэтому любой, кто использует это приложение, уязвим для этого недостатка.
- Несмотря на то, что французское правительство заверяет, что геолокация не требуется, приложение запрашивает разрешение на использование GPS и сможет найти вас.
- Приложение требует Регистрация пользователя (Разве это не анонимно?)
- При регистрации пользователя используется система Google ReCaptcha, который отправляет ваш IP и пользовательский агент в Google, то есть ваша анонимность полностью нарушена.
В статье цитируется отчет Ирия (Национальный институт научных исследований в области информатики и автоматизации) который является французским исследовательским центром, специализирующимся на компьютерных науках, теории управления и прикладной математике. Сделанные выводы разрушительны с точки зрения уважения конфиденциальности пользователей, гарантируя, что ни одно из этих требований не выполнено:
- Данные должны быть анонимными
- Должно быть невозможно определить, кто кого заразил
- Должно быть невозможно определить, болен человек или нет
- Невозможно поднять ложную тревогу
- Использование Bluetooth не должно быть проблемой для безопасности
- Должно быть невозможно получить доступ к данным в большом масштабе.
Очень жаль!