Google'i turvanõrkus Eesti koroonarakendust ei mõjuta
Esmaspäeval, 26.04, sai teatavaks Google’i turvanõrkus, mis võib mõjutada erinevate riikide koroonaviiruse lähikontaktide tuvastamise rakendusi Androidi operatsioonisüsteemi kasutatavates nutitelefonides. Hetkel selgitab Euroopa Komisjon täpsemaid mõjusid, Eesti kübereksperdid ja riik ohtu kõrgeks ei pea.
Lähikontaktide tuvastamise rakenduse HOIA arendusmeeskonda teavitati sellel nädalal turvanõrkusest, mis võib mõjutada rakendust Androidi operatsioonisüsteemi kasutatavates nutitelefonides. Nõrkus on Google'i poolt arendatud rakendusliideses Exposure Notification, mida kasutab nii HOIA kui ka veel 17 Euroopa riigi sarnased rakendused. TEHIKu, RIA ja arendusmeeskonna hinnangul on HOIA kasutamine jätkuvalt turvaline.
Teavitus tuli Euroopa Komisjoni e-Tervise töörühmalt, kes sai selle teabe Ameerika Ühendriikide turvakonsultatsioonide ettevõttelt. Ettevõtte analüütik avastas, et Google’i välja töötatud rakendusliidese teostus salvestab lähikontaktide tuvastamiseks kasutatavaid juhuslikke koode ka operatsioonisüsteemi diagnostikaks kasutatavas logis. Praegu on tegemist üksnes teoreetilise ohuga ja puudub info selle kohta, et inimeste andmed oleksid sattunud ohtu või saanud kolmandatele isikutele teatavaks.
Google’i rakendusliidese kirjeldus ei näe ette nende koodide salvestamist väljaspool telefoni turvalist salvestusala. Konkreetsele logile ei pääse ligi ei tavakasutajad ega -rakendused ning seega on turvalisuse murdmiseks vajaliku hulga koodide kogumine ründaja jaoks esmase analüüsi järgi ebamõistlikult keerukas. Kuigi HOIA töötab nii Apple’i iPhone kui ka Google Android nutitelefonidega, siis nõrkus puudutab vaid Androidi telefone.
RIA küberintsidentide käsitlemise (CERT-EE) osakond sai võimalikust nõrkusest teada nädala alguses ning tasapisi on infot juurde tulnud. „Praeguseks on RIA kokku pannud pildi, kuidas ja millistel eeldustel saab rünnet ellu viia. Sestap hindab RIA praegu ärakasutamise võimalikkust väga madalaks,“ ütles RIA küberintsidentide käsitlemise (CERT-EE) osakonna juht Tõnu Tammer.
„Nõrkuse ärakasutamine on tehniliselt keeruline. Selleks, et päriselt tuvastada võimalik nakatunu, peab ründaja ellu viima mitu samaaegset rünnet väga paljudes seadmetes. Need seadmed peavad olema ka üksteise lähedal. Lisaks peab üks seadme omanikest ründe ajal end haigeks märkima ning kõik see peab toimuma 15 minuti jooksul, sest kõnealuse nõrkusega seotud koodid kehtivad 15 minutit. Teame, et nõrkus peitub Google'i lahenduses, mitte üheski konkreetses koroonaäpis. Kõiki neid eeldusi arvesse võttes on sellisse rünnaku elluviimine äärmiselt keeruline. Meie hinnangul pole praegu põhjust rakenduse kasutamist piirata,“ selgitas Tammer.
Rakenduse omanik Terviseamet näeb HOIAt endiselt vajaliku abivahendina. „Tuginedes riigi tipp-küberturvalisuse ekspertide hinnangule, julgustame HOIA äppi endiselt kasutama. See on koroonapiirangute leevenemise järel hea abivahend, mis tuvastab võimalikke kokkupuuteid viirusega nakatunud inimestega,“ ütles Terviseameti nakkushaiguste osakonna peaspetsialist Kerstin Gertrud Kärblane.
“HOIA arendamisel toimub tihe infovahetus sarnast rakendust kasutavate riikidega, jagatakse kogemusi, nõuandeid aga ka teavet võimalike turvaintsidentide kohta,” selgitas Cybernetica AS Infoturbeinstituudi juhataja ning HOIA arendusmeeskonna liige Dan Bogdanov. “Oleme saadud teabe nõrkuse kohta läbi töötanud ning tänase info põhjal on rakenduse kasutamine inimeste jaoks turvaline.”
HOIA on Eestis kasutatav COVID-19 viiruse lähikontaktseid tuvastada aitav rakendus. Rakendus on loodud vaikimisi privaatsena ning kasutab eriotstarbelisi krüptograafilisi protokolle, et tagada andmete anonüümsus. HOIA rakenduses ei töödelda isikuandmeid ning rakendusest teavitust saades ei tea ka nutitelefon, kellega lähikontaktne oldud on. Samas on kõik haigusjuhud testidega kinnitatud ning andmed korrektsed.
Rakenduse töötas 2020. aastal välja Eesti IT-ettevõtete konsortsium, kes kinkis selle riigile. Alates 2021. aasta aprillist jätkub HOIA arendus riigihanke võitnud meeskonnaga. Esimeseks eesmärgiks on teostada piiriülene koostöö teiste riikide rakendustega, mis võimaldaks teineteisele privaatselt teavitusi saata ka erinevate riikide rakendustel.