Hirdetés

Mennyire biztonságosak a kontaktkövető appok?

|

A koronavírus-járvány nyomán született újfajta mobilapplikációk világszerte a viták kereszttüzében állnak. De vajon jogosak-e a velük kapcsolatos aggodalmak?

Hirdetés

A kontaktkövető appok eddigi pályafutása nem épp sikertörténet: ahol működnek, ott is kevesen használják őket, és van olyan ország, ahol egy már működő verzió használatát függesztették fel adatvédelmi megfontolásokból. Az elutasítás oka azonban inkább lélektani, a biztonsági problémák ugyanis ezeknél az applikációknál jól kezelhetők.

Lássuk először, hogyan is működnek ezek a kontaktkövető megoldások. Legtöbbjük a Bluetooth Low Energy (BLE) használatán alapul. A mobilokra telepített appok jeladóként működve úgynevezett beaconokat sugároznak ki, és, és veszik a többi mobilról érkező beaconöket, amelyek mindegyike egyedi, anonim azonosítóval rendelkezik - ezeket a mobil rendre elraktározza.

Hirdetés

Amikor valakinél kimutatják a vírusfertőzést, kap egy hivatalos kódot az egészségügyi hatóságoktól, amit be kell írnia az appba, és ezután hivatalosan is fertőzöttnek számít, az előző 14 napban használt beaconjainek azonosító-listája pedig átkerül egy központi szerverre. A többi mobil időről időre letölti a fertőzöttek azonosító-listáját, és ellenőrzi, hogy nem találkozott-e közülük valamelyikkel. Ha igen, az app a távolság és az együtt eltöltött idő alapján általában kiszámítja a fertőzés kockázatát, és ha ez meghalad egy határértéket, figyelmeztetést küld az érintettnek, jelezve, hogy vonuljon önkéntes karanténba, és lépjen kapcsolatba az egészségügyi szolgálattal.

 

Az adatok érzékeny volna miatt a kontaktkövető appoknak igen komoly biztonsági követelményeket kell kielégíteniük: ezek legfontosabbika az OWASP Mobile Security Testing Guide. Az appokkal kapcsolatos legfőbb biztonsági kockázat az, hogy a támadó valamilyen közvetlen módszerrel belepiszkál a forráskódba, és így állítja saját szolgálatába az eszközt. Ez főleg a JavaScript alapú appoknál valós probléma, ahol a forráskód kompilálatlan, így kiszolgáltatottabb a módosítási kísérleteknek.

Az OWASP ugyanakkor megfelelő ajánlásokat tartalmaz az applikációs kód módosítási kísérleteinek érzékelésére, és a behatolásvédelem kialakítására: ha a fejlesztők ezeket érvényesítik, bátran mondhatjuk, hogy a kontaktkövető appok használata adatvédelmi szempontból biztonságosnak tekinthető.

Ügyfélszolgálati változás!
--
Hirdetés
Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.