Google har nå har rettet en sårbarhet i systemet for smittesporing som blant annet Smittestopp bruker. Sårbarheten gjaldt kun Android-brukere.
GAEN-rammeverket, som er kjernen i nye Smittestopp og mange andre lands koronaapper, er en desentralisert løsning for smittesporing med registrering av anonymiserte data, som aldri skulle forlate mobilen.
Forrige uke ble det kjent at det var oppdaget en sårbarhet i GAEN. Dette rammeverket brukes blant annet av appen Smittestopp, men gjaldt alle smittesporingsapper på Android-telefoner som bruker systemet over hele verden, sier FHI i en pressemelding.
Feilen skal ligge i de såkalte Rolling proximity identifiers-nøklene, enveisnøklene som Smittestopp-brukere utveksler med andre app-brukere. Disse nøklene endres hver 15. minutt for å ivareta anonymitet, og for å misbruke svakheten må man derfor trolig kombinere sårbarheten med data fra andre apper - for eksempel GPS-data, som ikke lagres i GAEN - og trolig også kombinere data fra mange mobiltelefoner, for at sårbarheten skal kunne brukes til identifisering.
– Det er positivt at Google nå sier de har rettet feilen. Vi vil følge situasjonen nøye de nærmeste dagene for å være sikre på at dette er tilstrekkelig, sier IT-sikkerhetsleder Pål Solerød.
Sårbarheten kunne gjøre det teoretisk mulig å få tilgang til data fra brukeren gjennom spesialapper fra leverandører eller nettverksoperatører. Samtidig kan også andre forhåndsinstallerte apper på Android-telefoner være berørt.