ProteGO Safe - rządowa aplikacja do walki z wirusem pod okiem specjalistów. Nie gwarantuje anonimowości

7 maja 2020, 6:00

Zdaniem ekspertów rządowa aplikacja ProteGo nie gwarantuje użytkownikom zabezpieczenia przed śledzeniem

Dziennik zdrowia i aktywności, lokalizowanie przez bluetooth i centralna baza w ministerstwie - tak działa aplikacja ProteGO Safe stworzona na zamówienie rządu. Przyjrzeli jej się eksperci z fundacji Panoptykon i od bezpieczeństwa IT.

- Aby aplikacja w tej i kolejnych wersjach spełniała swoją rolę potrzebujemy kilku czynników. Przede wszystkim - solidarności, odpowiedzialności i samodyscypliny. Dlatego tak ważne jest, aby korzystało z niej możliwie najwięcej osób - mówi minister cyfryzacji Marek Zagórski.

Chodzi o ProteGO Safe, program który został napisany na zlecenie ministerstwa cyfryzacji. Pracowała i nadal pracuje nad jego udoskonaleniem koalicja polskich firm informatycznych we współpracy z GovTech Polska, pod nadzorem Głównego Inspektoratu Sanitarnego. Program od 20 kwietnia jest dostępny w sieci. Po zainstalowaniu w telefonie komórkowym informuje, np. o tym, że przebywaliśmy w pobliżu osoby, która mogła być zakażona koronawirusem. Kwalifikuje użytkowników do grup ryzyka. Pierwsza z nich to niska, obliguje do przestrzegania zaleceń ekspertów, zasad higieny i monitorowania swojego stanu zdrowia. Zakwalifikowanie do grupy średniej oznacza zalecenia pozostania w domu, a do wysokiej - pilny kontakt ze specjalistą.

Aplikacja działa na zasadzie dziennika aktywności i zachowań zdrowotnych, a także przy użyciu technologii bluetooth. Zastosowanie tego połączenia bezprzewodowego pozwala na zlokalizowanie w pobliżu innego smartfona z zainstalowaną aplikacją.

Program wzięli pod lupę działacze fundacji Panoptykon monitorującej stan inwigilacji społeczeństwa w Polsce. Działacze fundacji zaznaczają, że czekają na "ujawnienie logiki algorytmu wykorzystywanego do szacowania ryzyka, w szczególności przyjętych przez polskie władze założeń co do odległości między urządzeniami i czasu, który jest wystarczający, by doszło do ryzyka zakażenia".

Google ostrzega użytkowników i blokuje 7 popularnych aplikacji w Sklepie Play. To złośliwe aplikacje typu stalkerware.Stalkerware to aplikacje, które proszą użytkownika o bardzo dużo uprawnień a w konsekwencji wykorzystują to, aby śledzić każdy krok użytkownika. Mogą podsłuchiwać, podglądać za pomocą kamery, przeglądać zdjęcia, czytać SMS-y a także uzyskać dostęp do innych urządzeń, z którymi połączony jest smartfon.Czytaj koniecznie: Postarzasz zdjęcia w FaceApp? Użytkownicy boją się, że aplikacja może pobierać zdjęcia z telefonu. Twórcy zaprzeczająUżytkownik może się nawet nie zorientować - aplikacje typu stalkerware wyglądają jak te, które służą poprawie bezpieczeństwa, np. poprzez obserwowanie poczynań pracowników czy dzieci.Google zablokował i usunął 7 podejrzanych o szpiegowanie popularnych aplikacji ze Sklepu Play.Sprawdź też: DeepNude - aplikacja, która rozbiera kobiety znów pojawiła się w sieci. Może być niebezpiecznaJeśli masz którąś z tych siedmiu aplikacji, koniecznie ją odinstaluj - ostrzega Google. Sprawdź na kolejnych slajdach >>>Umacnia się rynek pracownika. Oto najbardziej pożądane zawody

Zobacz galerię (8 zdjęć)

Co to tak naprawdę oznacza dla obywatela i użytkownika ProteGO Safe? „Aplikacja nie inwigiluje, nie zbiera i nie udostępnia danych użytkowników. Informacje o napotkanych urządzeniach nie zawierają żadnych danych o ich właścicielach, są anonimowe i zakodowane, a do tego przechowywane tylko w telefonie, przez dwa tygodnie. Później są usuwane. Jeśli nie wierzycie, można to sprawdzić w kodzie źródłowym” - informuje Ministerstwo Cyfryzacji.

Używanie programu może, m.in. nieść "ryzyko deanonimizacji i odtworzenia mapy powiązań społecznych"

Według Panoptykonu te zapewnienia nie wytrzymują jednak konfrontacji z opiniami niezależnych specjalistów. Używanie programu może, m.in. nieść "ryzyko deanonimizacji i odtworzenia mapy powiązań społecznych" - czytamy w analizie przygotowanej przez Katarzynę Szymielewicz, Annę Obem, Tomasza Zielińskiego i Wojciecha Klickiego. Iluzoryczna anonimowość użytkowników programu miałaby się wiązać z faktem, że aplikacja jest hybrydą w części scentralizowaną (informacje przetwarzane na centralnym serwerze), a w części rozproszoną (operator sam nie może ustalić tożsamości użytkownika).

- Jeśli aplikacja pozostanie przy założeniach modelu scentralizowanego, to nie ma możliwości zabezpieczenia przed wykorzystaniem danych przechowywanych na serwerach Ministerstwa Cyfryzacji do innych celów, na przykład śledzenia lokalizacji i kontaktów między osobami zdrowymi - ocenia cytowany przez Panoptykon Jarek Potiuk, pełniący Principal Software Engineer, Open Source Committer.

W ubiegłym roku głośnym echem odbił się skandal związany rzekomym zakupem przez CBA izraelskiego systemu do inwigilowania Pegasus. Na jego trop wpadli kontrolerzy Najwyższej Izby Kontroli. Dopatrzyli się dziwnego transferu z Funduszu Sprawiedliwości na konto Centralnego Biura Antykorupcyjnego. Chodzi o dotację 25 mln zł przekazaną służbie w 2017 r. Pegasus daje możliwość niemal nieograniczonego śledzenia przez państwo użytkowników urządzeń elektronicznych.

- W Polsce brakuje instytucji, która mogłaby kontrolować, czy służby zgodnie z prawem wykorzystują swoje obowiązki - mówił Wojciech Klicki. - Inną kwestią jest rozwiązanie, które pozornie - ale tylko pozornie - może wydawać się absurdalne. Chodzi mianowicie o fakt, że w Polsce osoba, wobec której służby stosują działania operacyjne, nie dowiaduje się o tym fakcie. Dowiaduje się tylko wtedy, kiedy stosowane techniki, zbieranie danych owocuje postawieniem zarzutów i skierowaniem sprawy do sądu. Ale w sytuacji, kiedy dochodzi do inwigilacji danej osoby i te działania nie ujawniają żadnej przestępczej działalności, osoba, która była przedmiotem obserwacji, nie dowiaduje się o tym fakcie. Inaczej działa to, np. w Wielkiej Brytanii. Jest tam specjalna instytucja, która może wystąpić do danej służby z pytaniem, czy wobec konkretnej osoby były tego typu działania. I służba jest zobowiązana odpowiedzieć.

Wideo