Google'i turvanõrkus HOIA äppi ei ohusta

Esmaspäeval sai teatavaks Google’i turvanõrkus, mis võib mõjutada erinevate riikide koroonaviiruse lähikontaktide tuvastamise rakendusi Androidi operatsioonisüsteemi kasutatavates nutitelefonides. Hetkel selgitab Euroopa Komisjon täpsemaid mõjusid, Eesti kübereksperdid ja riik ohtu kõrgeks ei pea.

Lähikontaktide tuvastamise rakenduse HOIA arendusmeeskonda teavitati sel nädalal turvanõrkusest, mis võib mõjutada rakendust Androidi operatsioonisüsteemi kasutatavates nutitelefonides. Nõrkus on Google'i poolt arendatud rakendusliideses Exposure Notification, mida kasutab nii HOIA kui ka veel 17 Euroopa riigi sarnased rakendused. TEHIKu, RIA ja arendusmeeskonna hinnangul on HOIA kasutamine jätkuvalt turvaline.

Teavitus tuli Euroopa Komisjoni e-Tervise töörühmalt, kes sai selle teabe Ameerika Ühendriikide turvakonsultatsioonide ettevõttelt. Ettevõtte analüütik avastas, et Google’i välja töötatud rakendusliidese teostus salvestab lähikontaktide tuvastamiseks kasutatavaid juhuslikke koode ka operatsioonisüsteemi diagnostikaks kasutatavas logis. Praegu on tegemist üksnes teoreetilise ohuga ja puudub info selle kohta, et inimeste andmed oleksid sattunud ohtu või saanud kolmandatele isikutele teatavaks.

Google’i rakendusliidese kirjeldus ei näe ette nende koodide salvestamist väljaspool telefoni turvalist salvestusala. Konkreetsele logile ei pääse ligi ei tavakasutajad ega -rakendused ning seega on turvalisuse murdmiseks vajaliku hulga koodide kogumine ründaja jaoks esmase analüüsi järgi ebamõistlikult keerukas. Kuigi HOIA töötab nii Apple’i iPhone kui ka Google Android nutitelefonidega, siis nõrkus puudutab vaid Androidi telefone.

RIA küberintsidentide käsitlemise osakond sai võimalikust nõrkusest teada nädala alguses ning tasapisi on infot juurde tulnud. „Praeguseks on RIA kokku pannud pildi, kuidas ja millistel eeldustel saab rünnet ellu viia. Sestap hindab RIA praegu ärakasutamise võimalikkust väga madalaks,“ ütles RIA küberintsidentide käsitlemise osakonna juht Tõnu Tammer.

„Nõrkuse ärakasutamine on tehniliselt keeruline. Selleks, et päriselt tuvastada võimalik nakatunu, peab ründaja ellu viima mitu samaaegset rünnet väga paljudes seadmetes," ütles Tammer. Need seadmed peavad olema üksteise lähedal ning üks seadme omanikest peab ründe ajal end haigeks märkima. See kõik peab toimuma 15 minuti jooksul, sest kõnealuse nõrkusega seotud koodid kehtivad 15 minutit. „Teame, et nõrkus peitub Google'i lahenduses, mitte üheski konkreetses koroonaäpis. Kõiki neid eeldusi arvesse võttes on sellisse rünnaku elluviimine äärmiselt keeruline," ütles Tanner. Tema hinnangul pole praegu põhjust rakenduse kasutmise piiramiseks.

Terviseamet näeb HOIAt endiselt vajaliku abivahendina. „Tuginedes riigi tipp-küberturvalisuse ekspertide hinnangule, julgustame HOIA äppi endiselt kasutama. See on koroonapiirangute leevenemise järel hea abivahend, mis tuvastab võimalikke kokkupuuteid viirusega nakatunud inimestega,“ ütles Terviseameti nakkushaiguste osakonna peaspetsialist Kerstin Gertrud Kärblane.

„HOIA arendamisel toimub tihe infovahetus sarnast rakendust kasutavate riikidega, jagatakse kogemusi, nõuandeid aga ka teavet võimalike turvaintsidentide kohta,” ütles Cybernetica AS Infoturbeinstituudi juhataja ning HOIA arendusmeeskonna liige Dan Bogdanov. Saadud info nõrkuse kohta on läbi töötatud. Praeguse info põhjal on rakenduse kasutamine turvaline.