Bezpieczeństwo  / Artykuł

Aplikacja zawiadomi, jeśli spotkałeś zarażonego. O ile w ogóle ją pobierzemy

Ma być bezpłatna, dobrowolna i nie wymuszać udostępniania żadnych informacji. Pierwszą wersję aplikacji ProteGO Safe w ciągu półtora miesiąca pobrano niemal 70 tys. razy. Dziś trafiła jej nowa wersja na Androida. Póki co na prace nad nią wydano 2 mln zł. 

Minister Cyfryzacji Marek Zagórski zapowiedział, że od dziś można pobierać nową wersję aplikacji ProteGo Safe. Aplikacja ta ma wspomóc walkę z epidemią COVID-19 w Polsce. Jej zadaniem jest monitorowanie kontaktu z osobami, u których wykryto koronawirusa i powiadamianie użytkowników, że mieli taki kontakt, a więc potencjalnie są w grupie ryzyka. 

To nowa wersja aplikacji, która swoją premierę miała 20 kwietnia. Pierwsza wersja aplikacji ProteGO Safe działała w oparciu o scentralizowany system, co budziło zastrzeżenia ekspertów o prywatność użytkowników aplikacji. Teraz jednak po udostępnieniu odpowiednich narzędzi programistycznych przez firmy Apple i Google możliwe było zbudowanie systemu zdecentralizowanego.

A tym samym od dziś działa pełna wersja umożliwiająca tzw. contact tracing, czyli śledzenia kontaktów celem ostrzegania przed ewentualnym zakażaniem. 

Contact tracing na odsiecz

Działanie aplikacji ProteGO Safe wygląda następująco: po pobraniu jej na telefon należy się zalogować unikalnym nickiem oraz nadać jej uprawnienia. Od tego czasu aplikacja zapisuje, gdzie i kiedy właściciel spotkał się z innymi osobami. Oczywiście o ile mają one zainstalowaną aplikację. Zapisywanie tych danych odbywa się w nowej wersji, jak zapewnia resort cyfryzacji, tylko lokalnie, czyli na telefonie użytkownika.

Pełny wpis możesz przeczytać na Twitterze.

Jeśli u użytkownika zostanie wykryty koronawirus, to taka osoba otrzyma z sanepidu jednorazowy kod PIN, który będzie mogła wprowadzić do aplikacji ProteGO Safe. Po jego wpisaniu aplikacja wyśle informacje do innych osób, które kontaktowały się z zarażonym. Powiadomieni będą mogli przebadać się na obecność koronawirusa i poddać kwarantannie. 

Tyle teorii. 

Wszyscy, czyli co najmniej 60 proc. 

- Wszystko w twoich rękach. Tak brzmi hasło kampanii reklamującej nową aplikację - mówi minister Marek Zagórski. - Powodzenie aplikacji zależy od tego, ile osób ją zainstaluj. Im więcej, tym skuteczniej będzie można śledzić rozprzestrzenianie się koronawirusa - podkreśla szef resortu cyfryzacji. 

- Zachęcałbym, by wszyscy mieli taką aplikację - dodawał podczas konferencji minister Zdrowia Łukasz Szumowski.

I tu jest clue całej sprawy. By takie rozwiązanie miało jakiekolwiek znaczenie dla walki z pandemią, musi być pobrane przez większość społeczeństwa. Jak duża to skala, niech świadczy przykład Singapuru. Mimo iż jest to praktycznie tylko jedno miasto z wysokoscyfryzowanym społeczeństwem, a tamtejsza aplikacja Trace Together działa już od początku kwietnia, to i tak pobrało ją tylko 25 proc. z 5,7 mln mieszkańców. Opór okazał się na tyle duży, że rząd Singapuru rozważa teraz, by wprowadzić specjalne urządzenie ubieralne, które będzie monitorowało kontakty społeczne. 

W Polsce z pierwszą wersję aplikacji w ciągu półtora miesiąca pobrano zaledwie 70 tys. razy, w tym 37 tys. na system Android. - By u nas zadziałała, musiałoby ją pobrać co najmniej 30-40 proc. obywateli - przyznaje Zagórski.

Mateusz Romanow, główny twórca ProteGO Safe podaje, że według wyliczeń prof. Tyllala Krugera z  Uniwerystetu Wrocławskiego ta skala powinna być jeszcze większa, czyli sięgać minimum 60 proc. ludzi. Patrząc na dotychczasowe tempo pobierania i zaiteresowanie to jeszcze 485 miesięcy czyli jakieś 40 lat i mamy to!

Zaś według brytyjskich analiz ta penetracja powinna sięgnąć aż 80 proc. całego społeczeństwa. Czyli de facto powinna objąć wszystkie osoby dorosłe. 

Jednak według niego mamy na to większą szansę, bo w przeciwieństwie do tej z Singapuru, polska aplikacja działa w środowisku zdecentralizowanym. Dodatkowo tam większość pobrań realizowanych było na systemie iOS, na którym skanowanie nie działało sprawnie w tle. - Nasza aplikacja jest pod tym względem znacznie sprawniejsza - zapewnia. 

Nie chcemy danych!

Wszyscy odpowiedzialni za aplikację jak mantrę powtarzają, że zapewnia ona ochronę prywatności i nie będzie przechowywała danych użytkowników. - Ani rząd, ani administratorzy nie będą mieli dostępu do informacji zbieranych przez aplikację – zapewnia Marek Zagórski. – Wszystkie informacje są przechowywane na urządzeniu. Jedynie w momencie ryzyka zakażenia na aplikację przyjdzie odpowiednie powiadomienie do samego użytkownika. 

Ale ile razy by rząd nie zapewniał, że prywatność będzie chroniona, to i tak ta kwestia wciąż budzi obawy. Jak na swoim blogu ostrzega konsultant i badacz cyberbezpieczeństwa Łukasz Olejnik: - Ponieważ Ministerstwo jest instytucją publiczną, ma zatem potencjalnie uprawnienia i możliwości do pozyskania wiedzy o faktycznej tożsamości użytkownika „znajdującego się za” adresem IP. Adresy IP w tym kontekście mogą potencjalnie być więc widziane jak dane osobowe. Odnoszące się do konkretnych osób. Oznacza to, że już i tak wrażliwe dane przetwarzane w aplikacji do śledzenia kontaktów byłyby jeszcze bardziej wrażliwe, ponieważ - jeśli tak by miało być - byłyby to dane użytkowników zidentyfikowanych. 

Najważniejsze: być pierwszym

Tyle że nie tylko kwestie ochrony danych użytkowników budzą wciąż pytania i uwagi. Tomasz Zieliński, autor bloga InformatykZakladowy.pl, który na bieżąco śledzi prace wokół ProteGO Safe, wymienia kilka problematycznych aspektów. Wciąż niemożliwe jest wykonanie niezależnego przeglądu aplikacji ani audytu bezpieczeństwa. Operator serwera będzie mógł deanonimizować użytkowników, zresztą już na starcie nie ma mowy o anonimowości, bo każdy użytkownik pragnący włączyć w swoim urządzeniu Exposure Notification zapuka do serwerów Ministerstwa Cyfryzacji. 

Moduł wykonawczy będzie mógł okłamywać użytkownika. - Przejaskrawiony, fikcyjny przykład zahaczający o politykę: z powodu dużej liczby zakażeń w kopalniach, wszyscy użytkownicy ProteGO Safe łączący się ze Śląska otrzymują „podrasowany” moduł wykonawczy, który nigdy nie wyłączy funkcji śledzenia kontaktów, choć po kliknięciu pokaże na ekranie komunikat o deaktywacji tej funkcji - pisze Zieliński. 

Kolejny problem wskazywany także przez Fundację Panoptykon to to, że „wydawca aplikacji będzie mógł w każdej chwili podmienić zaufaną apkę na nową wersję, wyglądającą tak samo, lecz działającą zupełnie inaczej”. I wreszcie to, że w razie ewentualnego ataku na serwer ministerstwa złośliwy kod może trafić do wszystkich użytkowników ProteGO Safe. 

Lekarstwo straszy jak choroba

Wszystkie te problemy zdaniem specjalistów są do rozwiązania. Ale oczywiście zajmie to sporo czasu i pracy. Póki co jednak z wypowiedzi polskiego rządu wyłania się jedna kluczowa dla niego sprawa: jesteśmy jednym z pierwszych państw, które taką aplikację tworzyły i wypuściły pełną wersję z możliwością contact tracingu. Ten wyścig o pierwszeństwo przykrywa inne, wcale nie mniej ważne aspekty. 

Jak choćby poważne psychologiczne obawy przed pobieraniem takiej aplikacji. Brytyjski dziennik Guardian donosi, że naukowcy z Imperial College właśnie przeprowadzili badanie na 10 tys.osób zarejestrowanych w tamtejszym systemie NHS (publicznej opieki zdrowotnej). Owszem, średnio 60 proc. ludzi wyraża gotowość do pobrania aplikacji śledzącej zachorowanie na COVID-19. Ale już wśród osób, które podejrzewają u siebie wirusa, ta gotowość spadła do 27 proc. Wniosek: chorzy boją się, że aplikacja spowoduje, że będą traktowani jak obywatele drugiej kategorii. 

Klient z aplikacją mniej awanturujący się

Takie obawy mają nie tylko Brytyjczycy. Jeszcze niedawno Ministerstwo Rozwoju proponowało, by galerie handlowe mogły wpuszczać więcej klientów, ale tylko jeżeli będą oni mieli aplikację ProteGO Safe. Z tego pomysłu rząd szybko się wycofał. I dziś twardo mówi, że aplikacja będzie nieobowiązkowa. Zagórski zapewnia też, że nie ma planów, by pójść jeszcze dalej śladami Singapuru i wprowadzać obowiązkowe urządzenia ubieralne dla tych, którzy aplikacji nie ściągną.

Kiedy do wszystkich tych obaw dołożymy jeszcze bardzo pragmatyczny argument, że w Polsce około 25 proc. urządzeń jest zbyt przestarzała, by umożliwić kontakt tracing z pomocą technologii Bluetooth, może się okazać, że owszem jesteśmy jednym z pierwszych państw z taką aplikacją. Że być może nawet jest ona dosyć bezpieczna i że stoją za nią same dobre intencje. Ale cóż, realnym jej efektem będą tylko te 2 mln zł, które do tej pory na nią wydano. 

I nie pomoże nawet szturm na Twitterze wpisów ze świeżo założonych kont wychwalających aplikację.

Nie przegap nowych tekstów. Obserwuj Spider's Web w Google News.

przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst