COVID-19-თან საბრძოლველად შექმნილი მობილური აპლიკაციების უსაფრთხოების ასპექტები უცხო ქვეყნების მაგალითზე

საქართველოს მთავრობა მუშაობს აპლიკაციის დანერგვაზე, რომელიც მოქალაქეებს კორონავირუსით ინფიცირებულ პირთა სიახლოვეს შეატყობინებს. ჯანდაცვის მინისტრის, ეკატერინე ტიკარაძის განცხადებით, ქართული მხარე გაიმეორებს ავსტრიულ მოდელს, რომელზე მუშაობაც ამჟამად მიმდინარეობს. COVID-19-თან საბრძოლველად შექმნილ აპლიკაციას ზოგიერთი ქვეყანა აქტიურად იყენებს, თუმცა სარგებლიანობა განსხვავებულია.


ავსტრია

25 მარტიდან ავსტრიის წითელმა ჯვარმა (ÖRK) , როგორც ფედერალური მთავრობის მნიშვნელოვანმა პარტნიორმა კორონავირუსული რეაგირების სტრატეგიაში, წარმოადგინა მობილური აპლიკაცია “Stopp Corona”, რომელიც ხელმისაწვდომია, როგორც ანდროიდის, ასევე, iOS-ის მომხმარებლებისთვის. მას უკვე 130,000 გადმოწერა აქვს 8,8 მილიონიან ქვეყანაში.

აპლიკაცია, რომელიც გასულ კვირას გამოქვეყნდა, საშუალებას აძლევს ადამიანებს განსაზღვრონ რომელიმე მათ კონტაქტს ხომ არ ჰქონდა კორონავირუსული ინფექცია. პროგრამა წარმოადგენს ერთგვარ საკონტაქტო დღიურს, რომელშიც დაფიქსირებულია პირადი კონტაქტები ადამიანებთან და ანონიმურად ჩანიშნულია განხორციელებული კავშირები. წითელი ჯვარი გეგმავს გააფართოვოს აპლიკაცია და დაუმატოს ფუნქცია, რომელიც სიმპტომურად შეამოწმებს მომხმარებლებს.

ადამიანს, რომელსაც უკანასკნელი 48 საათის განმავლობაში ახლო კონტაქტი ჰქონდა კორონავირუსით ინფიცირებულთან, შეუძლია ანონიმურად აცნობოს აპლიკაციის საშუალებით ყველა მის ახლო კონტაქტს იმისათვის, რომ დროულად მოახდინონ თვითიზოლაცია ინფექციური ჯაჭვის შესაჩერებლად.

კრიტიკის საგანია პერსონალურ მონაცემებზე წვდომა და დაცულობა. წითელი ჯვრის განცხადებით, მომხმარებლებს ეძლევათ უნივერსალური უნიკალური იდენტიფიკატორი (UUID), რომლის გამოყენების შემთხვევაში მათი მობილურის ნომერი შენახულია 30 დღის განმავლობაში, შემდეგ კი სერვერიდან იშლება.

 

SBA Research-ის ექსპერტებმა რევერსიული ინჟინერიით გააანალიზეს აპლიკაცია. იგი მოიცავს შემდეგ ფუნქციებს: “Digital Handshake”, “Stored Encounters”, “Report Corona Infection”, “Notification in Case of Illness”.

“Digital Handshake”

“ციფრული მისალმების” დროს კრიტიკული პერსონალური ინფორმაციის წითელ ჯვართან ან მესამე მხარესთან გადაგზავნა არ ხორციელდება, თუმცა, ყველა პარტნიორის უნიკალური UUID კოდი ეგზავნება წითელ ჯვარს. UUID კოდი თავის მხრივ შესაძლებელია დაკავშირებული იყოს ტელეფონის ნომერთან, რომლის გაცემას მომხმარებელი თავად წყვეტს “Notification in Case of Illness” ფუნქციის გამოყენებისას, სადაც უთითებს მობილურ ნომერს, რათა გამარტივდეს მასთან დაკავშირება. “ციფრული მისალმებისთვის” საჭიროა მინიმუმ ორ მომხმარებელს ჰქონდეს ეს ფუნქცია ჩართული. გააქტიურების შემდეგ აპლიკაცია აგზავნის ინფორმაციას, რომ მოწყობილობა აღმოჩენადია და სხვა მომხმარებლებსაც ამ პრინციპით ეძებს. წარმატებული ძიების შემდეგ, აპლიკაცია ნახვადია სხვა მომხმარებლებისთვის, თითოეულ მომხმარებელს კი მინიჭებული აქვს ოთხნიშნა კოდი მათი ანონიმურობის დასაცავად. მომხმარებელი ინახავს კავშირებს “Stored Encounters” ფუნქციის საშუალებით, წარმატებული “Digital Handshake”-ის შემდეგ ინფორმაცია იგზავნება წითელი ჯვრის სერვერს, რომელიც შეიცავს მომხმარებლის UUID-ს და დროს, როცა მისალმება განხორციელდა.

ციფრული მისალმება იმპლემენტირებულია გუგლის Nearby Messages API-სთან, რომელიც იყენებს Bluetooth-ს, WLAN-სა და მიკროფონს სხვა სმარტფონების მოსაძებნად. როცა მომხმარებელი პირველად იყენებს “ციფრულ მისალმებას”, აპლიკაცია სთხოვს მას ჩართოს “Nearby” ფუნქცია და ატყობინებს იმის შესახებ, რომ იგი იყენებს ჩამოთვლილ ფუნქციებს. Nearby რეჟიმი არ საჭიროებს ინტერნეტს ანდროიდების საკომუნიკაციოდ და არ აგზავნის მონაცემებს Google-თან.

“Stored Encounters”

ციფრული მისალმებები დამახსოვრებულია “შენახული კონტაქტების” მონაცემთა ბაზაში. მომხმარებელს შეუძლია ნახოს თარიღი, დრო და სხვა მომხმარებლის ოთხნიშნა კოდი.

“Report Corona Infection”

მომხმარებელს შეუძლია განაცხადოს, რომ კორონავირუსული ინფექცია იქნა აღმოჩენილი და აცნობოს მის კონტაქტებს ბოლოდროინდელი კავშირის შესახებ. პირველ ეტაპზე, მომხმარებელი უთითებს ტელეფონის ნომერს, რის შემდეგაც SMS შეტყობინების სახით მოსდის TAN სააუთენტიკაციო კოდი. მობილურის ნომერი აუცილებლად უნდა იყოს დამოწმებული აუთენთიფიკაციის ნომრით, რათა წითელ ჯვართან თავიდან იქნას აცილებული უმიზეზო რეპორტები. TAN-ის წარმატებული შეყვანის შემდეგ, მომხმარებელი იღებს ინფორმაციას, რომ 48 საათის განმავლობაში განხორციელებულ კავშირებს ანონიმურად ეცნობება ინფიცირების შესახებ. უსაფრთხოების თვალსაზრისით, წითელი ჯვრის სერვერზე ამ შემთხვევაში იგზავნება TAN, მობილურის ნომერი და მესიჯები, როლებიც დაშიფრულია საჯარო გასაღებით და ხილვადია მხოლოდ ადრესატისთვის.

“Notification in Case of Illness”

აპლიკაცია რეგულარულად ახდენს კომუნიკაციას წითელი ჯვრის სერვერთან და აბრუნებს კორონავირუსულ ინფექციის შეტყობინებების სიას. სია არ შეიცავს პერსონალურ ინფორმაციას, მხოლოდ რიგით ნომერს და შეტყობინებას, თუმცა შიგთავსი გაანალიზებული არ არის. აპლიკაცია შეტყობინებებს აგზავნის Google Firebase სერვისის საშუალებით.


ირანი

Bitdefender-ის მკვლევარებმა გააანალიზეს მთავრობის მიერ მოწოდებული რამდენიმე ახალ კორონავირუსთან საბრძოლველად შექმნილი აპლიკაცია, ერთ-ერთი მათგანი იყო ირანული აპლიკაცია AC19 (hxxps://cafebazaar.ir/app/co.health.covid), რომელიც ბოროტად იყენებდა მომხმარებლების მონაცემებს. ირანის ჯანდაცვის სამინისტროს მიერ მოქალაქეებთან დაგზავნილი იყო შეტყობინებები, სადაც მოუწოდებდნენ გამოეყენებინათ აპლიკაცია კორონავირუსული ინფექციის სიმპტომების შესამოწმებლად. დიაგნოსტიკურ ფუნქციასთან ერთად, იგი აგროვებდა მსხვერპლის ლოკაციურ მონაცემებს და ახდენდა ფიზიკური აქტივობის მონიტორინგს.

AC19 პროგრამა ითხოვდა ნებართვას კორონავირუსის სკანირებაზე, თუმცა, სინამდვილეში, ანდროიდის პრივილეგიებს ითხოვდა, რომლებსაც მავნე პროგრამა იყენებს იმისათვის, რომ გააგრძელოს საზიანო ჯაშუშური საქმიანობა. აპლიკაცია განთავსებული იყო ირანის მთავრობის მიერ შექმნილ ვებ-გვერდზე, https: // ac19 [.] Ir /.

აქვე აღსანიშნავია, რომ ირანის მოქალაქეების 40% იყენებს ანდროიდის ძველ ვერსიას, რაც გულისხმობს იმას, რომ მათ არანაირი შეტყობინება მისდით სმარტფონზე იმის შესახებ, რომ მათი ლოკაცია ზიარდება. გუგლის მიერ AC19 ამოღებულია Play Story-დან.


ისრაელი

Hamagen” არის ისრაელის ჯანდაცვის სამინისტროს მიერ მოწოდებული მობილური აპლიკაცია, რომელსაც აქტიურად იყენებენ ისრაელის მოქალაქეები. მონაცემთა დაცულობა განპირობებულია იმით, რომ ინფორმაცია რასაც აპლიკაცია იყენებს, ინახება მხოლოდ მომხმარებლის მოწყობილობაში და არ იგზავნება გარე წყაროებთან. ისრაელის ჯანდაცვის სამინისტროს მიერ მოწოდებულ აპლიკაციასთან, CoronApp-თან დაკავშირებით მომხდარი ფაქტის გათვალისწინებით, სადაც ჰაკერების მიერ 75,000 მოქალაქის სამედიცინო ისტორია გაიჟონა, ჯანდაცვის სამინისტროს განცხადებით, გათვალისწინებული იყო შეცდომები და პროგრამა მსოფლიოში აღიარებულ უსაფრთხოების ექსპერტებთან ერთად შექმნეს. ინფორმაციული უსაფრთხოების მხრივ პასუხისმგებლობა საკუთარ თავზე Proferoმ აიღო, რომელმაც გაანალიზა კოდი და შეაფასა მისი უსაფრთხოება. კოდი საჯაროა და მისი ნახვა შესაძლებელია GitHub-ზე ნებისმიერი დაინტერესებული პირისთვის.


სინგაპური

სინგაპური იყენებს აპლიკაციას “TraceTogether”, რომელის მთავრობის მიერ არის მხარდაჭერილი. აპლიკაცია იყენებს Bluetooth-ს, რათა დაადგინოს მომხმარებლის სიახლოვე, მთავრობის შემუშავებული BlueTrace პროტოკოლის მიხედვით. იმისათვის, რომ აპლიკაციამ წარმატებით იფუნქციონიროს, საჭიროა ტელეფონში გამუდმებით ჩართული იყოს ბლუთუზის ფუნქცია, რაც წარმოქმნის დამატებით საფრთხეს ჰაკერების მიერ bluejacking, bluesnarfing ან სხვა სახის Bluetooth შეტევების მხრივ. თუ კი პირს დაუდასტურდება Covid-19 ინფექცია, ყველას, ვინც მინიმუმ 30 წუთის განმავლობაში 2 მეტრის მანძილზე იმყოფებოდა, შეუძლია იყოს იდენტიფიცირებული და ინფორმირებული. TraceTogether არ ინახავს ლოკაციურ მონაცემებს და არც მომხმარებლის სატელეფონო კონტაქტების სიაზე აქვს წვდომა. მონაცემთა ლოგები დაშიფრულად ინახება სმარტფონში, ხოლო ინფორმაცია პოტენციური ახლო კონტაქტების შესახებ ინახება არა მათი ტელეფონის ნომრების, არამედ  ჯანდაცვის სამინისტროს მიერ „კრიპტოგრაფიულად გენერირებული დროებითი ID”-ს საშუალებით. ამ ყველაფრის მიუხედავად, რჩება შესაძლებლობა, რომ მოხდეს დაშიფრული შენახული ინფორმაციის დეკრიპტაცია და ანალიზი მაშინ, როცა ეს მთავრობას დასჭირდება. Covid-19-ის პანდემიის დასრულების შემდგომ, ის რაც ახლა უმნიშვნელო ჩანს შესაძლოა ძალიან სენსიტიური აღმოჩნდეს მომავალში თითოეული ადამიანისთვის.

საკარანტინო პირობებში სინგაპური იყენებს CTQ-მიდგომას, რომელიც მყისიერად ამოიცნობს შესაძლო დაინფიცირებულ პირებს პროგრამული უზრუნველყოფის საშუალებით. ინფიცირებული კონტაქტების საძიებელი აპლიკაციის დახმარებით, COVID-19-ზე დადებითმა ტესტებმა დაუყოვნებლივ წარმოაჩინა სხვა, უფრო მაღალი რისკის მქონე ინდივიდების სია, რომლებიც უნდა გატესტილიყვნენ. ნახსენებ შემთხვევაში გამოყენებული იყო GPS მონიტორინგი, რათა უფრო ეფექტურად განხორციელებულიყო კარანტინი. სინგაპურში კონტაქტების ამოსაცნობ მიდგომას წარმოადგენს, ასევე, QR კოდებისა და საზოგადოებრივი ექსპოზიცირების რუკების გამოყენება. აგრეთვე, საჯაროდ ნებადართულია და აქტიურად გამოიყენება სამეთვალყურეო კამერები (CCTV) და ხელოვნური ინტელექტის სახის ამომცნობი პროგრამა, რომელსაც, თვალთვალი და ადამიანებზე დაკვირვება კიდევ უფრო მაღალ საფეხურზე აჰყავს.


მონტენეგრო

მონტენეგროს ხელისუფლებამ მთავრობის ვებ-გვერდზე გამოაქვეყნა იმ პირთა სია, რომლებიც უცხოეთში შინ დაბრუნების შემდეგ სავალდებულო იზოლაციაში მოექცნენ. სიები, რომლებიც მუნიციპალიტეტის მიერ იყო შექმნილი, მოიცავდა სახელებს, იზოლაციის თარიღს და მშობლიურ ქალაქს. უფრო მეტიც, სახელები დაჯგუფებული იყო ლოკაციის მიხედვით, რათა სხვა მოქალაქეებს შესძლებოდათ თავიანთი რეგიონის შესაძლო შემთხვევების შემოწმება. ვებ-გვერდზე ასევე მითითებული იყო იზოლაციის დაწყების და დასრულების თარიღები. მონტენეგროს ხელისუფლების განცხადებით, ამ მომენტში ქვეყანა მკაცრი არჩევანის წინაშე დგას მოქალაქეების ჯანმრთელობასა და მათი პირადი მონაცემების დაცვას შორის.


სომხეთი

სომხეთში პარლამენტმა დაამტკიცა კანონი, რომლის თანახმად მთავრობა თვალყურს ადევნებს ხალხის მდებარეობას და სატელეფონო კომუნიკაციებს, რამაც ხალხში პროტესტი გამოიწვია. იუსტიციის მინისტრის განცხადებით, შეაგროვებენ ინფორმაციას მხოლოდ დაინფიცირებული ადამიანის საკონტაქტო წრის შესახებ, ვისაც ეს ადამიანი ესაუბრა, და არ აპირებენ მოქალაქეების სატელეფონო ზარების მოსმენას. აგრეთვე, დაამატა, რომ ეს ყველაფერი მიმართულია ახალი კორონავირუსული ინფექციის წინააღმდეგ, და არა ხალხის გასაკონტროლებლად.

ამასთან, მთავრობის მიერ მოწოდებული აპლიკაციის source code არის ირანული “AC19”-ის გადმოთარგმნილი და მოდიფიცირებული ვერსია, რომელიც ESET-NODE32 ანტივირუსის მიერ ირანულ მავნე პროგრამად იქნა იდენტიფიცირებული. ამას გარდა, საეჭვოა ფაქტი, რომ პროგრამა Google Play-ზე ან App Store-ზე არ დევს და მისი დაინსტალირება შესაძლებელია მხოლოდ პირდაპირი გადმოწერით.


ჩინეთი

ჩინეთის მთავრობა საკუთარ მოქალაქეებს ავალდებულებს გამოიყენონ მათ მიერ მოწოდებული პროგრამული უზრუნველყოფა საკუთარ სმარტფონებზე, რაც განაპირობებს კარანტინის პირობებში უნდა იყვნენ თუ დაშვებულნი არიან მეტროებში, სავაჭრო დაწესებულებებში და სხვა საჯარო სივრცეებში.

ჩინეთში შემოღებულია ფერების მიდგომა ჯანმრთელობის მდგომარეობის შესაფასებლად QR კოდების საშუალებით. მწვანე კოდი მოუწოდებს თავის მფლობელს გადაადგილდეს შეუზღუდავად, ყვითელ კოდი გულისმობს 7 დღის განმავლობაში სახლში დარჩენას, ხოლო წითელი – 2 კვირიან კარანტინს. თუმცა, მიდგომა იმდენად ბუნდოვანია, რომ შესაძლოა დაუსაბუთებლად შეეცვალოს ადამიანს დადგენილი ფერი, იმის მიუხედავად, რომ საერთოდ არ იყოს ინფიცირებული. აპლიკაციამ მოსახლეობაში შიში და გაურკვევლობა გამოიწვია.


დასკვნის სახით, საქართველოსთვის და სხვა დანარჩენი ქვეყნებისთვის COVID-19-თან საბრძოლველად ტექნოლოგიების გამოყენება სწორი და ეფექტური გადაწყვეტილებაა, თუმცა ამ ყველაფერმა შესაძლოა სავალალო შედეგები გამოიწვიოს იმ შემთხვევაში, თუ არ განხორციელდება კონფიდენციალურობის სწორი დაცვა და შიფრაცია.

ერთი მხრივ, აპლიკაცია შესაძლოა დამხმარე საშუალება აღმოჩნდეს სახელმწიფოსთვის და მასში მცხოვრები ადამიანებისთვის, რათა განსაზღვრონ, რამდენად უსაფრთხო კომუნიკაცია აქვთ სხვა ადამიანებთან ინფექციის თვალსაზრისით, მეორე მხრივ კი იზრდება სახელმწიფოს მხრიდან მოქალაქეების მასიური თვალთვალის რისკები. ვდგებით თავისუფლებასა და უსაფრთხოებას შორის არჩევანის გაკეთების წინაშე, სადაც გაურკვეველია ზღვარი, თუ სადამდე უნდა იყოს დათმობილი თავისუფლებები (თუნდაც დროებით). უდავოდ პრიორიტეტულია კორონავირუსული ინფექციის დამარცხებაზე ზრუნვა, თუმცა საბოლოოდ არ უნდა მივიღოთ ის შედეგი, რომ პანდემიის შემდგომ ბევრად უარესი თავისუფლების მაჩვენებელი გვქონდეს.