Google jobber med å rette sårbarhet i sitt smittesporingssystem
Nyhet
|Publisert
Dette innholdet er arkivert og blir ikke oppdatert.
Det er oppdaget en teknisk sårbarhet i Googles smittesporingssystem, som blant annet Smittestopp på Android-telefoner bruker. Dette gjelder alle apper som bruker systemet over hele verden. Sårbarheten innebærer at det kan være teoretisk mulig å få tilgang til data fra brukeren. Google jobber nå med å rette problemet. FHI har ikke informasjon som tilsier at sårbarheten er blitt utnyttet av hackere.
Denne nyheten er eldre enn 30 dager og informasjonen kan være utdatert
Ta meg til forsiden– Ut fra informasjonen vi har fått, er det begrensede muligheter til å utnytte denne sårbarheten per nå. Det vi er bekymret for er at telefonprodusenter og telefonioperatører i teorien kan få tilgang til informasjon som kun Google skal ha, og at det kan gjøre det mulig for andre forhåndsinstallerte apper å hente ut denne informasjonen. Vi kontaktet Google forrige uke, og fikk vite i går at de jobber med å rette denne, sier IT-sikkerhetsleder Pål Solerød i FHI.
Gjelder Android-brukere
Sårbarheten som er oppdaget ligger i logg-oppsettet på Android-telefoner, som for eksempel Samsung- og HTC-telefoner, og gjør det mulig for spesialapper fra leverandører eller nettverksoperatører å få tilgang til enveisnøklene som Smittestopp-brukere utveksler med andre app-brukere. Disse nøklene er ment å være anonyme, men ved å koble dette sammen med annen informasjon, kan identiteten til brukeren avsløres. Produsentene kan også få tilsendt disse ved dataproblemer med telefonen. Dette er beskrevet i kapittel 2.5 i personvernerklæringen for Smittestopp.
Vanskelig å utnytte
Sårbarheten som er oppdaget kan gjøre det mulig at for eksempel leverandører eller andre kan få tilgang til å hente ut disse enveisnøklene. Dermed kan det være teoretisk mulig å identifisere brukeren og få informasjon om brukeren, nærkontakter og bevegelser.
– Det er viktig å få frem at dette ikke er en sårbarhet hvem som helst kan utnytte, det er svært vanskelig å få tilgang til denne typen informasjon. Men risikoen er til stede, sier Pål Solerød.
Ber Google om feilretting
– Alle datasystemer har fortløpende sikkerhetsbrister som må repareres. Vi ønsker at Google retter opp denne feilen så fort som mulig, og tar dette alvorlig, sier IT-sikkerhetsleder Pål Solerød i FHI.
– Bør Android-brukere avinstallere appen?
– Vi kjenner ikke til at denne feilen blir utnyttet, Google jobber med å lukke den, og vi anbefaler ikke brukere å avinstallere appen, sier IT-sikkerhetsleder Pål Solerød.