Android-puhelinten koronasovelluksissa havaittu haavoittuvuus on korjattu – väärinkäytöksiä ei ole tullut ilmi

Android-puhelinten koronasovelluksissa havaittu mahdollinen tietoturva-aukko on korjattu. Google ilmoitti korjauksesta 26.4., jonka jälkeen haavoittuvuuden korjaus päivittyi puhelimiin. Myös Koronavilkku-sovellus käyttää Googlen rajapintaa. 

Selvitys mahdollisesta tietoturva-aukosta lähti liikkeelle huhtikuun lopussa, kun yhdysvaltalainen tietoturvayhtiö havaitsi, että koronasovellusten hyödyntämä Googlen rajapinta tallensi puhelinten vaihtamia satunnaisia tunnuskoodeja puhelinten suojattuun järjestelmälokiin. Tunnuskoodeja ei pitäisi kuitenkaan tallentua muualle kuin sovelluksen hyödyntämään EN-rajapintaan 14 vuorokauden ajaksi. EU-maat vaativat Googlea korjaamaan asian nopeasti. 

Myös Suomessa rajapintaan liittyvä mahdollinen tietoturva-aukko huomattiin ja Koronavilkun työryhmä huomautti asiasta Googlelle jo 17.8.2020. THL ja Kyberturvallisuuskeskus katsoivat, että havaitut riskit ovat niin epätodennäköisiä, että ne voidaan hyväksyä. Satunnaiset tunnuskoodit, joita haavoittuvuus koski, ovat anonyymeja, 10-20 minuutin välein vaihtuvia tunnuslukuja, joita sovellus käyttää altistumisen seurantaan. Sovelluksen käyttäjää ei yksittäisestä koodista pysty tunnistamaan. 

Tavallisilla käyttäjillä ja sovelluksilla ei myöskään ole ollut pääsyä suojattuun järjestelmälokiin, johon tunnuskoodeja on tallentunut. Jos koodeja olisi kerätty useista laitteista ja yhdistetty muihin tietoihin, olisi teoreettinen mahdollisuus henkilöllisyyden paljastumiselle ollut olemassa. Tiedossa ei kuitenkaan ole, että mahdollista tietoturva-aukkoa olisi käytetty hyväksi missään tilanteessa. 

Lisätietoja:  
Aleksi Yrttiaho 
tiedonhallintajohtaja
THL
[email protected]