Заявка на відстеження контактів уряду Франції підтверджує все, про що підозрювали: це катастрофа з точки зору функціональності та небезпека з точки зору конфіденційності користувачів. Помилка, яку ми сподіваємось, послужить прикладом, щоб інші не потрапляли в ту ж помилку.
Ми вже розповідали вам про проект, який Apple і Google здійснили спільно, і який закінчився API, який вони надали урядам по всьому світу для розробки програми відстеження контактів, яка якомога гарантує конфіденційність. що, звичайно, це працює як слід. Незважаючи на те, що поставили його на блюдо, деякі уряди, Сполучене Королівство та Франція на чолі з ними жорстко критикували ці дві компанії за те, що вони хочуть нав'язати свої API, і вирішили вести війну самостійно. Результат не може бути гіршим, оскільки програма StopCOVID, яку щойно запустив уряд Франції, показує, що це повна катастрофа. І коли я кажу про катастрофу, я говорю не лише про її роботу, але й з точки зору конфіденційності користувачів, як це було показано в декількох аудитах, які проводились, оскільки програма є відкритим кодом і доступна для аналізу.
Одним з найцікавіших аналізів програми StopCOVID, який використовує більш зрозумілу мову для тих з нас, хто не знає про розробку додатків, є той, який проводив Надім Кобейсіпосилання), який також посилається на різні аналізи, проведені офіційними органами. Я підсумовую найбільш важливі збої та проблеми конфіденційності, про які йдеться в цій статті:
- Використання Bluetooth, зроблене цією програмою, не корисно, щоб точно знати відстань, на якій ви знаходитесь від іншої людини.
- На пристроях iOS за невикористання API Apple-Google, Bluetooth вимикається, як тільки ви закриваєте програму, ви залишаєте його у фоновому режимі або вимикаєте екран iPhone, тому StopCOVID абсолютно марний на iPhone.
- Додаток не усуває серйозний недолік безпеки за допомогою Bluetooth що API Apple і Google вирішує, тому кожен, хто користується цим додатком, є вразливим до цієї вади.
- Незважаючи на те, що французький уряд запевняє, що геолокація не потрібна, додаток запитує дозвіл на використання GPS і зможете знайти вас.
- Додаток вимагає реєстрація користувача (Чи не було анонімним?)
- Під час реєстрації користувачів використовується система Google ReCaptcha, який надсилає ваш IP та агент користувача в Google, тобто ваша анонімність абсолютно вражена.
У статті цитується звіт Ірія (Institut National de Recherche en Informatique et en Automatique) це французький дослідницький центр, що спеціалізується на комп’ютерних науках, теорії управління та прикладної математики. Зроблені висновки руйнівні з точки зору дотримання конфіденційності користувачів, гарантуючи це жодна з цих вимог не виконується:
- Дані повинні бути анонімними
- Повинно бути неможливо визначити, хто кого заразив
- Повинно бути неможливо визначити, хвора людина чи ні
- Неможливо підняти помилкові тривоги
- Використання Bluetooth не повинно бути проблемою безпеки
- Має бути неможливим доступ до даних у великому масштабі
Це дуже прикро!