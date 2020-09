Koronavilkku-sovelluksen käyttäjästä ei siirry Googlelle ja Applelle enempää tietoa kuin niistä älypuhelimien käyttäjistä, joilla ohjelmaa ei ole asennettu, kertoo tietoturvayhtiö.

Koronavilkku-sovelluksesta ei ole löytynyt mitään ilmeisiä ongelmia tietoturvan kannalta, selviää tietoturvayhtiö Nixun selvityksestä, jonka HS tilasi yhtiöltä.

Samalla yhtiö huomauttaa, että itse asiassa Google ja Apple ovat suunnitelleet sovelluksesta suurimman osan. Siten kaksi suurta teknologiajättiä määrittelevät, millaisia älypuhelinsovelluksia valtiot voivat ylipäänsä kehittää koronavirustartuntojen jäljittämiseen.

Koronavilkku-sovellus on ollut maanantaista asti ladattavissa maksutta Googlen ja Applen sovelluskaupoista. Keskiviikkona iltapäivällä Koronavilkku oli Terveyden ja hyvinvoinnin laitoksen (THL) mukaan ladattu jo noin 1,4 miljoonaan älypuhelimeen.

Kun sovelluksen avaa ensimmäisen kerran, se pyytää hyväksymään käyttöehdot ja rastimaan, että sovelluksen on ottanut käyttöön vapaaehtoisesti.

Kun avaa Koronavilkun ensimmäisen kerran, sovellus opastaa, miten sitä kuuluu käyttää.­

Sen jälkeen Koronavilkun käyttö ei vaadi muuta kuin puhelimen Bluetooth-ominaisuuden. Bluetoothin saa päälle puhelimen pikavalikosta tai asetuksista kohdasta Bluetooth.

Sovellus toimii koko ajan automaattisesti taustalla, vaikka sovellus ei edes olisi auki.

Jos Koronavilkku-sovelluksen käyttäjälle tulee koronavirustestistä positiivinen tulos, hän saa terveydenhuollon ammattilaisilta joko puhelimitse tai tekstiviestinä koodin, jonka hän voi itse syöttää Koronavilkkuun.

Tällöin kaikki muut Koronavilkku-sovelluksen käyttäjät, jotka ovat olleet riittävän kauan ja riittävän lähellä tartunnan saanutta tiettyyn aikaan, saavat sovellukseensa altistusvaroituksen.

Altistusvaroituksessa kerrotaan, miten sen vastaanottajan kannattaa toimia.

Jos et ole ollut tartunnasta ilmoittaneen ihmisen lähettyvillä, Koronavilkun päänäkymässä lukee: ”Ei havaittuja altistumisia.”

HS halusi selvittää tarkemmin, miten sovellus on koodattu ja miten on varmistettu, että sitä todella on turvallista käyttää tietoturvan kannalta.

THL ja Koronavilkun kehittänyt sovellusyhtiö Solita julkaisivat sovelluksen avoimen lähdekoodin verkossa viime viikolla, joten se on vapaasti tarkasteltavissa.

Lisäksi THL, Solita sekä liikenne- ja viestintäministeriön Kyberturvallisuuskeskus ovat kertoneet julkisuudessa seikkaperäisesti, miten Koronavilkku toimii ja miten se on tehty.

HS halusi kuitenkin hankkeesta riippumattoman tietoturvayhtiön selvityksen.

Tietoturvayhtiö Nixun asiantuntijat käyttivät selvityksen tekoon kaksi päivää. Tavallisesti yhtiö varaisi mobiilisovelluksen tarkastukseen huomattavasti pidemmän ajan.

Nixun selvitystyön perusteella ei siis pysty aukottomasti sanomaan, voiko Koronavilkku-sovelluksesta löytyä tietoturva-aukkoja.

Nixu keskittyi selvityksessään Koronavilkun Android-sovelluksen lähdekoodiin ja Googlen dokumentaatioon sekä rajasi esimerkiksi Applen Ios-sovelluksen tarkastelun ulkopuolelle.

Nixu varmisti muun muassa sen, että Googlen sovelluskaupasta löytyvä sovellusversio vastaa THL:n ja Solitan julkaisemaa lähdekoodia.

Yhtiö myös seurasi Android-puhelimeen asennetun Koronavilkku-sovelluksen verkkoliikennettä. Se viesti vain Koronavilkun taustapalvelimeen kuten pitääkin.

Kyberturvallisuuskeskus teki oman selvityksensä Koronavilkusta ennen kuin se julkaistiin ladattavaksi sovelluskauppoihin.

Myöskään Kyberturvallisuuskeskus ei havainnut sovelluksessa olennaisia tietoturvaan liittyviä riskejä.

Voiko Koronavilkku paljastaa käyttäjien sijaintitietoja?

Kun Koronavilkun lataa ja avaa Android-puhelimella, sovellus saattaa kysyä, saako se käyttää puhelimen sijaintitietoja.

Kyse on Android-käyttöjärjestelmän teknisestä ominaisuudesta. Bluetoothin avulla voi olla mahdollista päätellä puhelimen sijainti, joten Android-sovellukset, jotka kysyvät Bluetooth-oikeutta, joutuvat kysymään myös oikeutta sijaintitietoihin, Nixun asiantuntijat kertovat.

Koronavilkku ei Nixun selvitystyön perusteella kuitenkaan käytä sijaintitietoja eli toimii aivan kuten THL ja sovelluksen kehittänyt Solita ovat julkisuudessa kertoneet.

Sovellus ei kysy, lähetä eikä tallenna sijaintitietoja. Sen toiminta ei perustu lainkaan gps-paikannusjärjestelmään.

Koronavilkkua pystyy siis käyttämään ilman huolta siitä, voiko sovellus seurata käyttäjän sijaintitietoja.

Mitä tietoja Koronavilkku kerää?

Kun käyttäjä hyväksyy sovelluksen käytön, se alkaa lähettää ympärilleen satunnaisia tunnistenumeroita Bluetoothin avulla. Nixun mukaan sovellus lähettää näitä tunnisteita noin neljä kertaa sekunnissa.

Tunnistenumerot puolestaan vaihtuvat keskimäärin viidentoista minuutin välein.

Samaan aikaan Koronavilkku myös kuuntelee lähistöllä olevien muiden Koronavilkku-sovellusten lähettämiä tunnisteita.

Sovellus tekee tällaisen skannauksen kerran viidessä minuutissa noin neljän sekunnin ajan.

Päänäkymä on tällainen, kun sovelluksella ei ole tiedossa, että käyttäjä olisi altistunut koronavirukselle.­

Koronavilkku pitää kirjaa lähettämistään tunniste­numeroista ja niistä tunniste­numeroista, jotka se on vastaanottanut muista puhelimista.

Koronavilkku ei parita laitteita keskenään kuten tavallisesti Bluetooth-teknologiaa käytettäessä, esimerkiksi puhelimen ja langattomien kuulokkeiden ollessa yhteydessä toisiinsa.

Koronavilkku käytännössä ainoastaan lähettää viestin palasia, jotka toinen laite kuulee tai ei kuule.

Nämä tunnisteet pysyvät kuitenkin kyseisissä laitteissa. Ne eivät tässä vaiheessa kulje internetin kautta minnekään.

Solitan teknologia-asiantuntija Sami Köykkä kuvaili THL:n järjestämässä infotilaisuudessa perjantaina, että tunnisteet ovat puhelimessa Googlen ja Applen luoman rajapinnan sisällä kuin pienessä kassakaapissa.

Tämän rajapinnan lähdekoodiin ei ole pääsyä, joten sen tutkiminen on huomattavasti työläämpää. Nixu ehti tarkistaa siitä vain yksittäisiä asioita.

Muutoin pitää luottaa Appleen ja Googleen, joilla on tekemisistään tarkka dokumentaatio. Nixu kävi sitä läpi ja pitää sitä luotettavana.

Koronavilkku käyttää Bluetooth Low Energy -teknologiaa, joka myös vie vähemmän energiaa ja on Nixun mukaan yksi syy siihen, miksi Koronavilkkua ei voi ladata osaan vanhemmista älypuhelimista.

Mitä tapahtuu, kun ilmoittaa sovelluksessa sairastuneensa koronavirukseen?

Jos Koronavilkku-sovelluksen käyttäjä saa positiivisen tuloksen koronavirustestissä ja syöttää terveydenhuollon ammattilaisilta saamansa kertakäyttöisen avauskoodin sovellukseen, hänen puhelimessaan tallessa olevat tunnistenumerot latautuvat internetin välityksellä Kelan palvelimelle.

Kaikki puhelimet, joissa on Koronavilkku-sovellus, ovat yhteydessä Kelan palvelimeen, josta ne lataavat koronaviruksen sairastuneiden laitteista lähteneitä koodeja.

Nämä tiedot sovellus käsittelee puhelimessa.

Nixun selvityksen mukaan Koronavilkku hakee taustapalvelimelta tietoja muutaman tunnin välein.

Jos Koronavilkku-sovellus havaitsee, että käyttäjä on ollut riittävän kauan riittävän lähellä ihmistä, jolla on todettu koronavirustartunta kyseisellä hetkellä, hän saa sovellukseensa altistusvaroituksen.

THL ja ohjelmistokehittäjä ovat yhdessä määritelleet tietyt raja-arvot, joiden täytyy ylittyä ennen kuin käyttäjä saa sovellukseensa altistusvaroituksen. Nämä raja-arvot sovellus hakee Kelan palvelimelta.

THL on ottanut lähtökohdaksi sen, että yli viisitoista minuuttia alle kahden metrin etäisyydessä koronaviruksen sairastuneesta riittää altistumiseen.

Altistusvaroituksessa kerrotaan, mitä käyttäjän kannattaa tehdä. Käyttäjä ei kuitenkaan saa muuta tietoa kuin sen, että hän on saattanut altistua koronavirukselle neljäntoista viime vuorokauden aikana.

Hän ei tiedä, missä näin on mahdollisesti tapahtunut ja kuka sairastunut ihminen on.

Myöskään viranomaiset eivät tiedä, kenelle altistusvaroitukset lähtevät.

Kyse on niin sanotusta hajautetusta teknologiasta. Ei siis ole olemassa keskuspalvelinta, joka seuraisi tietoja.

Kyberturvallisuuskeskuksen selvityksen mukaan palvelinjärjestelmäkokonaisuuden toteutuksessa on huomioitu suojautuminen useita yleisiä riskejä vastaan.

Nixulla ei ollut pääsyä arvioimaan, miten palvelinjärjestelmät on toteutettu.

Mitä merkitsee, että Koronavilkku toimii Googlen ja Applen kehittämän rajapinnan varassa?

Nixun analyysin mukaan suurin osa koronasovelluksesta on itse asiassa Googlen ja Applen suunnittelemaa. Jokainen valtio vain tekee näiden yhtiöiden suunnittelemien osien päälle omanlaisensa käyttöliittymän.

Tämän lisäksi on toteutettu maakohtaisesti se, miten tiedot liikkuvat internetissä puhelinten Koronavilkku-sovellusten ja palvelimien välillä.

Google ja Apple eivät ole julkaisseet tekemiensä osuuksien lähdekoodia. Google on tosin julkaissut siitä yksittäisiä osuuksia. Lisäksi yhtiöllä on Nixun mukaan tarjolla hyvä ja yksittäisiä osuuksia laajempi dokumentaatio siitä, mitä se on tehnyt.

Googlen ja Applen ratkaisu on Nixun mukaan varsin monimutkainen, koska se pyrkii suojaamaan käyttäjän yksityisyyttä, minimoimaan sähkönkulutuksen ja tarjoamaan mahdollisimman helppokäyttöisen rajapinnan, jonka päälle jokainen valtio voi rakentaa oman sovelluksensa mahdollisimman helposti ja niin, että vakavien virheiden tekeminen on vaikeaa.

Google ei esimerkiksi salli sovelluksen käsitellä lainkaan sijaintitietoja eikä puhelimen yhteystietoja, jotta maakohtaiseen sovellukseen ei tehtäisi ratkaisuja, jotka voisivat vahingossa vuotaa tietoja puhelimen käyttäjästä.

Ilman Googlen ja Applen osuutta valtiot tuskin olisivat onnistuneet tekemään yhtä laadukkaita sovelluksia, kuuluu Nixun arvio.

Kokonaisuuden kannalta on siis parasta, että teknologiajätit ovat tehneet yhtenäisen ratkaisun, joka toimii molempien yhtiöiden käyttöjärjestelmissä.

Tämä mahdollistaa myös sen, että eri valtioiden koronasovellukset voivat periaatteessa toimia tulevaisuudessa keskenään.

Samaan aikaan Googlella ja Applella on kuitenkin valta määritellä, millainen sovelluksen pitää olla, jotta se ylipäänsä pääsee ladattavaksi niiden sovelluskauppoihin.

Nixu heittää ilmoille pohdintoja: Onko Googlen ja Applen asia kertoa valtioille, miten niiden kuuluu hoitaa koronavirukseen altistuneiden ihmisten jäljittäminen? Mihin tällainen kehitys voi tulevaisuudessa johtaa?

Joka tapauksessa Koronavilkku-sovellus ei Nixun mukaan luo mitään ylimääräistä tai uutta riskiä.

Älypuhelimen käyttäjästä ei mene yhtään enempää tietoa Googlelle tai Applelle kuin siitä lähtisi, vaikka ei olisi asentanut Koronavilkku-sovellusta.

”Suosittelemmekin yhteisen edun nimissä kaikkia asentamaan Koronavilkku-sovelluksen”, Nixu sanoo arviossaan.