07-13-2020 12:25

COVID-19 apps: Οι εφαρμογές εντοπισμού ιών παραβιάζουν το ιδιωτικό απόρρητο

Οι εφαρμογές εντοπισμού ιών παραβιάζουν το ιδιωτικό απόρρητο καταγράφοντας περισσότερα δεδομένα από όσα χρειάζονται, θέτοντας σε κίνδυνο τους χρήστες.

Τον Απρίλιο, η Νορβηγία κυκλοφόρησε μια εφαρμογή για τα smartphone, το Smittestopp ή αλλιώς «Σταματήστε την πανδημία», η οποία καταγράφει χρήστες που έρχονται σε στενή επαφή για περισσότερο από 15 λεπτά και στέλνει ειδοποιήσεις εάν έχουν εκτεθεί στον κορονοϊό.

«Μπορούμε όλοι να βοηθήσουμε να σταματήσει η διάδοση του ιού και να σώσουμε ζωές», δήλωσε η πρωθυπουργός Έρνα Σόλμπεργκ. “Εάν πολλοί άνθρωποι κατεβάσουν την εφαρμογή Smittestopp, μπορούμε να πάρουμε πίσω την ελευθερία μας.”

Μέσα σε δύο εβδομάδες, σχεδόν 900.000 άτομα – ή περίπου ένας στους πέντε Νορβηγούς ηλικίας άνω των 16 ετών – είχαν αρχίσει να χρησιμοποιούν την εφαρμογή. Ωστόσο, μέχρι τα μέσα Ιουνίου, η κυβέρνηση είχε απενεργοποιήσει προσωρινά την υπηρεσία αφού οι ρυθμιστές προστασίας δεδομένων δήλωσαν ότι η Νορβηγία είχε τόσο λίγες περιπτώσεις κοροναϊού που οι κίνδυνοι εντατικής παρακολούθησης υπερέβαιναν τα ακόμη μη αποδεδειγμένα οφέλη για τη δημόσια υγεία. Αυτήν την εβδομάδα, οι επιτηρητές δεδομένων της χώρας επέβαλαν επίσημα μια προσωρινή απαγόρευση στην εφαρμογή.

Η Νορβηγία είναι μία από τις πολλές χώρες που δημιούργησαν εφαρμογές για να εντοπίσουν και να παρακολουθήσουν τον κορονοϊό, με αποτέλεσμα να αντιμετωπίσουν σοβαρές καταγγελίες που προέκυψαν λόγω εκτεταμένης εξόρυξης δεδομένων χρηστών ή κακών πρακτικών ασφαλείας. Ομάδες ανθρωπίνων δικαιωμάτων και τεχνολόγοι έχουν προειδοποιήσει ότι ο σχεδιασμός τέτοιων εφαρμογών θέτει σε κίνδυνο εκατοντάδες εκατομμύρια ανθρώπους για παρακολούθηση, απάτες ή κλοπή ταυτότητας – και θα μπορούσε να υπονομεύσει την εμπιστοσύνη στις προσπάθειες δημόσιας υγείας. Τα προβλήματα προέκυψαν καθώς ορισμένες χώρες είναι έτοιμες να αναπτύξουν ακόμη πιο παρεμβατικές τεχνολογίες, όπως για παράδειγμα εκατοντάδες χιλιάδες εργαζομένων να φορούν βραχιολάκια παρακολούθησης ιών όλο το 24ωρο.

Στα μέσα Ιουνίου, μετά από κριτική των υποστηρικτών της ιδιωτικής ζωής, η Βρετανία εγκατέλειψε την εφαρμογή εντοπισμού ιών που ανέπτυξε και ανακοίνωσε την αλλαγή σε λογισμικό από την Apple και την Google που οι ίδιες οι εταιρείες έχουν προωθήσει ως πιο «προστατευτικό απέναντι στην ιδιωτική ζωή».

Τον Μάιο, αφού η Διεθνής Αμνηστία εντόπισε σημαντικά ελαττώματα ασφαλείας σε μια υποχρεωτική εφαρμογή προειδοποίησης για έκθεση σε ιούς στο Κατάρ, η κυβέρνηση κυκλοφόρησε μια ενημέρωση με νέα χαρακτηριστικά ασφαλείας. Τον Απρίλιο, δημοσιογράφοι των The New York Times διαπίστωσαν ότι μια κυβερνητική εφαρμογή εντοπισμού ιών στην Ινδία, η οποία είχε γίνει download περισσότερες από 77 εκατομμύρια φορές, μπορούσε να διαρρεύσει τις ακριβείς τοποθεσίες των χρηστών. Η ινδική κυβέρνηση επέλυσε αμέσως το πρόβλημα και σύντομα άρχισε να προσφέρει οικονομικές ανταμοιβές σε ερευνητές ασφαλείας που βρίσκουν ευπάθειες στην εφαρμογή.

Στην πραγματικότητα, «η συντριπτική πλειονότητα» των εφαρμογών εντοπισμού ιών που χρησιμοποιούν οι κυβερνήσεις δεν διαθέτουν επαρκή ασφάλεια και «είναι εύκολα θύματα για τους χάκερ», σύμφωνα με μια πρόσφατη ανάλυση λογισμικού από την Guardsquare, μια εταιρεία ασφάλειας εφαρμογών για κινητά.

«Είναι μια διδακτική ιστορία για τις κυβερνήσεις που συγκεντρώνουν έναν τόσο τεράστιο όγκο δεδομένων», δήλωσε ο Claudio Guarnieri, επικεφαλής του εργαστηρίου ασφαλείας της Διεθνούς Αμνηστίας, ο οποίος εντόπισε τα προβλήματα με την εφαρμογή του Κατάρ.

Κυβερνήσεις σε όλο τον κόσμο παρουσίασαν αρκετές εφαρμογές εντοπισμού ιών φέτος, σημείωσε. «Αλλά, φυσικά, το να κάνεις κάτι τέτοιο βιαστικά και χωρίς σωστές εκτιμήσεις και σωστό σχεδιασμό και επίβλεψη», είπε, θα μπορούσε «να θέσει σε κίνδυνο αυτές τις προσπάθειες».

Οι επιδημιολόγοι έχουν αναφέρει ότι οι εφαρμογές ελέγχου ιών μπορεί να είναι χρήσιμες προσθήκες στις προσπάθειες δημόσιας υγείας, ειδικά σε χώρες όπως η Νότια Κορέα, η οποία διαθέτει την εθνική ιατρική υποδομή για να κάνει μαζικές δοκιμές και να απομονώσει άτομα που έχουν θετικά αποτελέσματα.

Ωστόσο, οι ομάδες ψηφιακών δικαιωμάτων λένε ότι ορισμένες κυβερνήσεις χρησιμοποιούν εφαρμογές απλά για να αποδείξουν στο κοινό ότι λαμβάνουν κάποια συγκεκριμένη δράση κατά του ιού.

Οι κυβερνήσεις σε Ασία και Ευρώπη έχουν στραφεί σε κινητά τηλέφωνα και εφαρμογές κατά τη διάρκεια της πανδημίας για διάφορους σκοπούς, συμπεριλαμβανομένης της ανάλυσης δεδομένων τοποθεσίας smartphone από παρόχους κινητής τηλεφωνίας για να εκτιμήσουν τη συμμόρφωση των κατοίκων κατά την διάρκεια καραντίνας. Όμως, οι εφαρμογές παρακολούθησης, τις οποίες χρησιμοποιούν ορισμένες χώρες για να ειδοποιήσουν τους ανθρώπους για πιθανή έκθεση στον ιό ή για την επιβολή κυβερνητικών οδηγιών καραντίνας, έχουν μπει στο μικροσκόπιο. Αυτό συμβαίνει επειδή ορισμένες από τις εφαρμογές συλλέγουν συνεχώς λεπτομέρειες σχετικά με την υγεία των χρηστών, τις ακριβείς τοποθεσίες και τις κοινωνικές αλληλεπιδράσεις, αυξάνοντας τους κινδύνους έκθεσης απορρήτου και ασφάλειας.

Τον Μάιο, το Κατάρ άρχισε να απαιτεί από όλους τους κατοίκους να χρησιμοποιούν μια εφαρμογή ενημέρωσης για ιούς ή θα αντιμετωπίσουν πρόστιμα έως και 55.000 δολάρια. Η εφαρμογή εκχωρεί σε κάθε χρήστη έναν ψηφιακό κωδικό χρώματος – πράσινο για άτομα που είναι υγιή χωρίς συμπτώματα, κόκκινο για επιβεβαιωμένες περιπτώσεις Covid-19 – που υπαγορεύει εάν ένα άτομο πρέπει να μείνει στο σπίτι ή να βγει. Μπορεί επίσης να παρακολουθεί τις τοποθεσίες των χρηστών σε πραγματικό χρόνο για να παρακολουθεί εάν αυτοί που έχουν μολυνθεί από τον ιό συμμορφώνονται με κρατικές παραγγελίες αυτοπεριορισμού.

Μετά τη δοκιμή της εφαρμογής, ωστόσο, η Διεθνής Αμνηστία εντόπισε ελαττώματα ασφαλείας που θα μπορούσαν να δώσουν στους χάκερς πρόσβαση στα ονόματα, την κατάσταση της υγείας και σε ορισμένες περιπτώσεις, στις τοποθεσίες καραντίνας περισσότερων από ένα εκατομμυρίων χρηστών που την είχαν κατεβάσει. Το Κατάρ ενημέρωσε γρήγορα την εφαρμογή, ενισχύοντας το σύστημα ελέγχου ταυτότητας χρήστη.

Η πρόσφατη ανάλυση του Guardsquare σχετικά με τις εφαρμογές ανίχνευσης ιών που χρηματοδοτήθηκαν από την κυβέρνηση σε 17 χώρες διαπίστωσε άλλα ελαττώματα ασφαλείας – συμπεριλαμβανομένης της ελάχιστης κρυπτογράφησης και των ανεπαρκών συστημάτων εντοπισμού χάκερ. Η έκθεση προειδοποίησε τις κυβερνήσεις ότι η ιεράρχηση της ταχύτητας ανάπτυξης εφαρμογών έναντι της ασφάλειας των χρηστών θα μπορούσε να διαβρώσει την εμπιστοσύνη και τη συμμετοχή των πολιτών στις προσπάθειες δημόσιας υγείας.

«Δυστυχώς, οι κατασκευαστές εφαρμογών δεν φαίνεται να παίρνουν τους κινδύνους αρκετά σοβαρά», ανέφερε η έκθεση της Guardsquare.

Οι κριτικοί κατηγόρησαν την εφαρμογή «Σταματήστε την πανδημία» της Νορβηγίας για ένα διαφορετικό ζήτημα: για την υπερβολική κυβερνητική παρακολούθηση.

Όπως μια εφαρμογή εντοπισμού ιών στην Ινδία, η νορβηγική εφαρμογή συλλέγει δεδομένα τοποθεσίας και τα στέλνει σε μια βάση δεδομένων της κυβέρνησης για ανάλυση. Ορισμένες άλλες χώρες υιοθετούν μια διαφορετική προσέγγιση, που επεξεργάζεται τα προσωπικά δεδομένα των χρηστών στα τηλέφωνα τους όπου οι κυβερνητικές υπηρεσίες δεν μπορούν να έχουν πρόσβαση σε αυτά.

Η Gun Peggy Knudsen, αναπληρωτής γενικός διευθυντής του Νορβηγικού Ινστιτούτου Δημόσιας Υγείας, δήλωσε ότι η ανάλυση δεδομένων από την εφαρμογή ανίχνευσης ιών βοήθησε τον οργανισμό της να κατανοήσει την αποτελεσματικότητα των μέτρων δημόσιας υγείας.

Ωστόσο, οι ειδικοί τεχνολογίας άρχισαν να προειδοποιούν ότι τα δεδομένα τοποθεσίας και κοινωνικής εγγύτητας από την εφαρμογή θα μπορούσαν ενδεχομένως να χρησιμοποιηθούν για πιο επεμβατικούς σκοπούς, όπως η χαρτογράφηση κοινωνικών δικτύων. Οι επικριτές υποστήριξαν επίσης ότι η υπηρεσία δημόσιας υγείας εκμεταλλεύεται τα προσωπικά στοιχεία των χρηστών για δικούς της σκοπούς χωρίς τη ρητή συγκατάθεσή τους.

Τον Μάιο, μετά από παρέμβαση της κυβέρνησης για αλλαγές, περισσότεροι από 300 ειδικοί σε θέματα τεχνολογίας, ασφάλειας και απορρήτου δημοσίευσαν μια δήλωση προειδοποιώντας ότι η εφαρμογή θα μπορούσε να οδηγήσει σε «άνευ προηγουμένου παρακολούθηση» της κοινωνίας.

Τον Ιούνιο, η Αρχή Προστασίας Δεδομένων της Νορβηγίας δήλωσε ότι θα απαγορεύσει προσωρινά την εφαρμογή, υποστηρίζοντας ότι συνέλεξε πολύ περισσότερα δεδομένα από όσα χρειάστηκε για να λειτουργήσει.

Ο οργανισμός δημόσιας υγείας διέγραψε έκτοτε τα προσωπικά δεδομένα των χρηστών και απενεργοποίησε προσωρινά την εφαρμογή. Ωστόσο, η κα Knudsen, αξιωματούχος δημόσιας υγείας, υποστήριξε ότι η απενεργοποίηση της εφαρμογής ήταν κοντόφθαλμη απέναντι στο επόμενο κύμα του ιού.

Τον Ιούνιο, το νορβηγικό κοινοβούλιο ζήτησε από τις υγειονομικές αρχές να αναπτύξουν ξεχωριστά δικαιώματα χρήστη για την εφαρμογή: μία συγκατάθεση για εντοπισμό ιών και άλλη για συλλογή δεδομένων. Όταν ο παρατηρητής δεδομένων της χώρας επέβαλε επίσημα προσωρινή απαγόρευση στην εφαρμογή αυτή την εβδομάδα, είπε ότι οι υγειονομικές αρχές δεν είχαν αποδείξει τη χρησιμότητά της ή επέτρεψαν στους χρήστες να ελέγχουν τον τρόπο χρήσης των δεδομένων τους.

Η Σιγκαπούρη άρχισε πρόσφατα να δοκιμάζει μια πιο παρεμβατική τεχνολογία εντοπισμού ιών – ζητώντας από μια ομάδα μεταναστών να φορούν βραχιολάκια με δυνατότητα Bluetooth που μπορούν να ανιχνεύσουν τις τοποθεσίες τους και την εγγύτητα μεταξύ τους. «Ο αρχικός στόχος είναι να αποτρέψει τους εργαζόμενους που έχουν μολυνθεί από τον ιό και βρίσκονται σε καραντίνα σε ειδικούς κοιτώνες να επισκεφθούν τους πιο υγιείς συναδέλφους τους», δήλωσε ο Ron Rock, διευθύνων σύμβουλος της Microshare, μιας εταιρείας στη Φιλαδέλφεια που παρέχει την συγκεκριμένη τεχνολογία. «Οι ανησυχίες περί απορρήτου στη Σιγκαπούρη δεν μοιάζουν με την Ευρώπη και τις Ηνωμένες Πολιτείες», είπε ο κ. Rock.