Группа экспертов в области безопасности, изучив австралийское приложение для отслеживания контактов с зараженными COVIDSafe, пришла к выводу, что оно открывает возможности для стороннего отслеживания пользователя.

Приложение работает на похожем на сингапурское ПО TraceTogether и использует сигналы Bluetooth, чтобы составлять журналы контактов между людьми. Если пользователь сдал положительный тест на коронавирус, он уведомляет об этом приложение, и оно передает информацию об угрозе заражения тем, кто был с ним в контакте.

Автор независимого исследователя Крис Калнэйн, преподаватель Мельбурнского университета, а также исследователь криптографии и студент магистратуры Элеонора МакМертри, разработчик Роберт Меркель и генеральный директор Thinking Security Ванесса Тиг разместили свои выводы на GitHub.

Приложение, по их словам, присваивает пользователям уникальные идентификаторы, которые обновляются раз в два часа. При этом у сингапурского аналога смена TempID происходит каждые 15 минут. Хранение уникального идентификатора в течение двух часов «значительно увеличивает возможности стороннего отслеживания», говорят исследователи.

Однако в австралийском приложении ID также меняется только при новом запуске приложения. То есть, если у пользователя в период двух часов отсутствует или выключен интернет, то идентификатор останется прежним. Как предположили авторы исследования, таким образом правительство стремиться контролировать, кто и как часто использует приложение. Для пользователей TraceTogether обязательная проверка проводилась всего раз в сутки.

Авторы работы приводят пример: человек имеет дома, к примеру, умную колонку от Google или Amazon, либо более дешевое устройство IoT с поддержкой Bluetooth, которое записывает его ID перед уходом. Если владелец приходит в торговый центр или другое общественное место, получается, что каждое устройство, которое взаимодействует с его домашним гаджетом, может делиться информацией о том, куда он пошел.

Исследователи опровергают информацию о том, что все данные, совместно используемые и сохраняемые в приложении, зашифрованы, как в TraceTogether. Так, сервис открыто сообщает другим пользователям точную модель телефона вместе с соответствующим уникальным идентификатором. Эти данные можно использовать, чтобы отслеживать контакты и перемещения конкретного человека. Авторы подтверждают свои выводы фрагментом декомпилированного кода приложения:




Также анализ подтвердил, что в некоторых случаях уникальные идентификаторы по неизвестным причинам хранятся в приложении до восьми часов.

Между тем австралийцы скачали выпущенное 26 апреля приложение более двух млн раз за первые 48 часов. Пока охват COVIDSafe составляет около 8% населения, но правительство хочет добиться того, чтобы этот показатель достиг 40%.

См. также:

• «OpenCovidTrace — open-source проект безопасного и приватного отслеживания контактов COVID-19»
• «Apple и Google стали партнерами в борьбе против COVID-19. Пользователей iOS и Android будут отслеживать по Bluetooth»
• «Financial Times: 2 млрд смартфонов не смогут использовать технологию отслеживания контактов Google и Apple»
• «СМИ: правительства используют пандемию для ужесточения слежки за людьми»