Ochrana osobných údajov: očkovacie aplikácie či ZOH v Pekingu vzbudzujú pochybnosti

V súvislosti s očkovaním proti Covid-19 boli vo svete vyvinuté mnohé aplikácie, ktorých úlohou je umožniť overovanie platnosti očkovacích certifikátov. Napriek ich užitočnosti sú tieto aplikácie často spochybňované odborníkmi na kybernetickú bezpečnosť a ochranu osobných údajov.

Zdroj obrázka: Unsplash.

V dnešnej dobe je ochrana osobných údajov veľmi rozšírenou témou. Záujem o údaje používateľov dnes nemajú len hackeri a podvodníci, chcú sa k nim dostať aj rôzne spoločnosti či štáty.

Nejde pritom len o násilné získanie informácií používateľa, často ide o údaje, ktoré človek sám a dobrovoľne do aplikácií zadá. Technologickí giganti ako Meta, Google či Microsoft zhromažďujú prostredníctvom svojich aplikácií veľké množstvo informácií.

Na základe nich potom napríklad Facebook či YouTube navrhujú personalizovaný obsah. Ochrana údajov v tejto oblasti je predmetom odborných diskusií už dlhšiu dobu.

Rizikové trackery od Google a Microsoftu

Balkan Investigative Reporting Network (BIRN) sa pozrel na technickú stránku veci pomocou softvérového nástroja vyvinutého francúzskou neziskovou organizáciou Exodus Privacy. BIRN zistil, že niektoré z aplikácií využívali trackery od Microsoftu a Googlu. Tie majú za úlohu reportovať problémy či náhle ukončenie aplikácie, zároveň však zbierajú a ukladajú dáta používateľov.

Z výskumu BIRN vyplýva, že tieto trackery boli použité v aplikáciách pre Poľsko, Česko, Nórsko aj Slovensko. Softvérový vývojár Dmitry Alekhin to odôvodnil tým, že použitie trackerov tretej strany významne šetrí vývojárom čas. 

Keďže sa verifikačné aplikácie často vyvíjali vo veľkom zhone, je vysoko pravdepodobné, že práve to bolo dôvodom využitia trackerov.

Odborníci poukazujú na riziká, no aj upokojujú

Poľský vývojár Szymon Teżevski poukázal na nevýhodu používania funkcie Bluetooth. Práve na jej základe fungujú trasovacie aplikácie. Podľa Teżevského nie je ideálne mať neustále zapnutý Bluetooth, pretože polohu používateľa môže sledovať tretia strana.

Vadim Misbach-Soloviev, ktorý sa zaoberá implementáciou IT technológií a kryptografiou, však tvrdí, že nie je dôvod na paranoju. 

Poukazuje na fakt, že technologických gigantov strážia dozorné orgány štátov, v ktorých pôsobia. Tie neváhajú v mnohých prípadoch rozdávať miliónové pokuty, o čom sa presvedčili Google alebo Amazon.

Aké sú prognózy do budúcna?

Počas minulého roka sa po spustení vakcinácie proti Covid-19 uvažovalo nad spôsobmi overovania očkovania. Priekopníkom bol Izrael, ktorý ako prvý spustil tzv. Green pass – QR kód na papieri či v aplikácii, ktorý po naskenovaní ukázal informácie o očkovaní.

Napriek tomu, že sa tieto aplikácie v rôznych národných variáciách ukázali byť užitočnými pomocníkmi, zožali aj veľké množstvo kritiky

Niektorí kritici sa obávajú toho, že ich osobné údaje môže vidieť ktokoľvek, kto doklad o očkovaní kontroluje – napríklad pracovníci obchodu alebo služieb – a obávajú sa možného zneužitia.

Riziková môže byť olympiáda

Niektorí IT experti nabádajú k opatrnosti účastníkov olympijských hier v Pekingu. Pre účely najväčšieho športového sviatku bola vytvorená aplikácia MY2022, ktorou sa má preukazovať očkovanie a testovanie proti Covid-19.

Skupina Citizen Lab, ktorá sa zaoberá kyberbezpečnosťou, vo svojom reporte upozorňuje na viaceré závažné chyby aplikácie MY2022. Podľa tejto správy môžu hackeri jednoducho získať informácie o používateľovi, rovnako mu môžu do aplikácie vložiť falošné pokyny. 

Jednou z funkcií aplikácie je aj možnosť posielania hlasových správ. Podľa Citizen Labu je tak možné odpočúvať aj mikrofón.

Niektoré štáty preto už svojich atlétov vyzvali k použitiu lacných telefónov a predplatených SIM kariet. Citizen Lab tiež zistil, že v aplikácii sa nachádza zoznam citlivých slov, ktoré je možné sledovať v rámci používateľských správ. Ten by však v tomto momente nemal byť v aplikácií aktivovaný.

Zoznam obsahuje 2 422 hesiel prevažne v čínštine. Kľúčové slová sa týkajú najmä Komunistickej strany Číny, prezidenta Si Ťin-pchinga, Dalajlámu či Ujgurov.

CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/

Absolvoval bakalársky stupeň štúdia v odbore európske štúdiá na Masarykovej univerzite v Brne. Zaujíma sa o politickú situáciu na západnom Balkáne a vo východnej Európe, a tiež o modernú históriu európskych štátov. Kontakt: matus.bucko@infosecurity.sk