Smittestopp vs. GAEN

Simula tok feil. Det var ikke ukjent at Google samler inn persondata

– Simulas kritikk av «overraskende» datainnsamling faller med dette fullstendig i grus, sier systemutvikler Hallvard Nygård.

Simula høster igjen kritikk etter en rapport om veien videre for smittesporing-app i kampen mot koronavirus.
Simula høster igjen kritikk etter en rapport om veien videre for smittesporing-app i kampen mot koronavirus. (Illustrasjon: Colourbox)

– Simulas kritikk av «overraskende» datainnsamling faller med dette fullstendig i grus, sier systemutvikler Hallvard Nygård.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Googles innhenting av lokasjonsdata ved bruk av Google Play Services ble fremstilt som et nytt og «overraskende personvernproblem» i en rapport Simula nylig la fram.

At Google Play Services har en slik bivirkning at Android-telefoner spores av Google var, ifølge Simula, ikke kjent før i midten av juli 2020, inntil det ble oppdaget av et forskerteam i Dublin.

Derfor var dette ukjent da Smittestopp-appen var i bruk, har det norske forskningsinstituttet hevdet. Den skrotede Smittestopp-appen benyttet seg av GPS-lokasjon og brukte selv Google Play Services på Android. 

Olav Lysne er direktør for SimulaMet og professor ved Oslomet.
Olav Lysne er direktør for SimulaMet og professor ved Oslomet. Foto: Håvard Fossen

Ukjent for Simula

I virkeligheten har Googles praksis vært kjent i årevis. Blant annet er det omtalt i flere artikler fra 2016, uten at forskerne fanget det opp.

– Her ser vi at digi.no har rett. Det strengt korrekte er at denne bivirkningen ikke var kjent for oss før i juli, bekrefter Simula-direktør og professor i informatikk Olav Lysne når han blir forelagt lenkene.

Simula-rapporten lener seg på en forskningsrapport fra Trinity College i Dublin i sin argumentasjon mot bruk av GAEN, som er Google og Apple sitt felles grensesnitt for smittesporing på mobiltelefoner.

Google er selv åpne om hva slags personopplysninger, inkludert lokasjonsdata som de samler inn ved bruk av deres tjenester. Merk at Google Play Services er et sett med tjenester og API-er for utviklere og ikke det samme som app-butikken Google Play.

Ideelt sett burde vi funnet disse oppslagene

Olav Lysne

Google har tidligere sendt oss et eget tilsvar om GAEN for å imøtegå noen av påstandene som ble fremsatt i Simula-rapporten. Her heter det blant annet at GAEN ikke samler inn lokasjonsdata, informasjon om nærkontakt eller om sluttbrukeren.

Olav Lysne tror likevel ikke at myndighetene eller den allmenne befolkningen var klar over at Google sporer bruk av Google Play Services. Dette skal også ha vært ukjent for forskerne bak den irske Trinity-rapporten.

– De oppdaget dette gjennom å analysere data som telefonen sendte fra seg. Dette har så vidt oss bekjent heller ikke blitt påpekt av noen i smittesporingsdebatten verken i Norge eller internasjonalt før Trinity-forskerne kom med sin artikkel. Likevel: ideelt sett burde vi funnet disse oppslagene, og informert FHI om at dette var en bivirkning dersom de ønsket GPS-data. Det gjorde vi ikke, medgir Simula-direktør Lysne.

Det som Lysne har kalt Googles «dataslurping» blir i Simula-rapporten fremstilt som et argument mot bruk av Googles og Apples felles rammeverk for smittesporing (GAEN), som kun registrerer anonym Bluetooth-nærkontakt med lagring på brukernes telefoner.

Et stort antall nordmenn med Android-telefoner blir sporet av Google uansett, så det er usikkert hvilken reell forskjell en innføring av GAEN vil innebære, vedgår Simula i rapporten.

– Faller fullstendig i grus

Hallvard Nygård.
Hallvard Nygård har lenge vært kritisk til manglende personvern i Smittestopp. Foto: Harald Brombach

Hallvard Nygård er systemutvikler med spesiell interesse for sikkerheten til norske, nettbaserte løsninger. Han ble for alvor kjent da han i 2017 oppdaget en alvorlig sårbarhet i Æ-appen til Rema 1000, kort tid etter lansering.

– Simula sin kritikk av GAEN for «overraskende personvernproblemer» faller med dette fullstendig i grus. GAEN er mer effektivt og samtidig tvinger det frem innebygd personvern på et astronomisk høyere nivå enn den nedstengte Smittestopp-appen, sier Nygård til digi.no.

Han er blant dem som i mai signerte et felles opprop, der en mengde eksperter tok et oppgjør med hvordan Smittestopp samlet inn store mengder personopplysninger.

Nygård får også støtte fra Johannes Brodwall, som er blant initiativtakerne til det nevnte oppropet.

Johannes Brodwall, Principal Software Engineer i Sopra Steria.
Johannes Brodwall er sjefsutvikler i Sopra Steria. Foto: Sopra Steria

– Jeg er enig med Hallvard om at Simulas bekymring for Google Play faller i grus gitt at Google fikk samme informasjon fra telefoner som benyttet Smittestopp, sier Brodwall. 

Fire måneder etter oppropet er standpunktet det samme. Utviklerne mener at Googles og Apples grensesnitt for smittesporing er et mye bedre alternativ.

– GAEN tvinger myndighetene til å minimere egen datalagring. Det er åpenbart at Smittestopp versjon 2 må bli en egen app som bruker GAEN og har innebygd personvern. Jeg håper bare FHI og Simula får fart på å lage den, sier Nygård.

Hallvard Nygård har for øvrig dekompilert Smittestopp-appen, for selv å undersøke hvordan den norske smittesporingsappen fungerer. Han har dokumentert en del funn som du kan lese mer om i en egen tråd på Twitter. Han har også laget en kopi-app som VG tidligere har omtalt.

Les også

– Slurvete av Simula

Det har kommet og gått personvernbekymringer ved Google og Play Services opp gjennom årene, så at Simula ikke var bevisst på dette i april er ikke en urimelig påstand, sier Brodwall, som er sjefsutvikler i konsulentselskapet Sopra Steria.

– Men når de referer til Trinity-dokumentet er det slurvete å påstå at dette er et problem med GAEN-applikasjoner sammenlignet med Smittestopp. Trinity-artikkelen er tydelig på at dette er generelle problemstillinger for alle apper som benytter Google Play Services og det inkluderer Smittestopp. Dette burde Simula forstått når de leste artikkelen, sier Brodwall.

Kritikken fra utviklerne er forelagt Simula, som velger å svare på følgende vis.

–  Det er motstanderne av Smittestopp som har tegnet et bilde av Google og Apples løsning som personvernmessig helt i orden. Vi tror både myndighetene og det allmenne publikum syns det er interessant å få vite at bruk av en app basert på Google og Apples teknologi innebærer personvernmessige utfordringer, i hvert fall for Android-brukerne, skriver Olav Lysne. 

Det er ifølge ham grunn til å mene at det å informere disse personvernutfordringene burde være en bransjestandard.

– Man kan jo spørre seg om de som har kjent til dette faktisk har opplyst sine kunder om at de utvikler løsninger som har denne bivirkningen. Om det ikke har skjedd, bør det gjøres nå.

Simula har i sommer testet ut to alternativer for ny løsning for digital smittesporing. En app basert på GAEN, og en en variant av Smittestopp, som kun vil bruke Bluetooth-funksjonalitet som per nå ikke krever Google Play Services.

Krevende å undersøke selv

Hva er årsaken til at Simula ikke selv har undersøkt om Google og Apple samler inn data fra brukere av en smittesporing-app, men i stedet henviser til andres forskning?

Kunne ikke det norske forskningsinstituttet relativt enkelt ha sjekket om telefonene sender fra seg data og i hvilket omfang? For eksempel med programmet Wireshark, eget VPN-nettverk eller egne basestasjoner i et lukket testmiljø?

– Det er flere grunner til at dette ikke har blitt gjort. Først, at Trinity-forskerne har planer om å gjøre det. Dernest at slike undersøkelser er krevende å gjennomføre. Mens Wireshark-oppsettet du refererer til lar seg greit realisere, består vanskeligheten i å analysere data som gjerne er kryptert. I våre samtaler med Trinity har vi fått vite at det går en god del mer data til Google enn de delene de faktisk har klart å analysere, sier Olav Lysne.

Simula ga for øvrig FHI allerede i juni en anbefaling om å bytte ut Smittestopp med en GAEN-basert mobilapp.

– Vi tenker ikke å gå tilbake på vårt råd, men det at GAEN trigger sporing av Android-telefoner er et moment som myndighetene må vurdere. Det har derfor en naturlig plass i rapporten vår, sier professoren.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen