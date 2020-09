Koronavilkun hyväksymistä avauskoodeista liikkuu väärää tietoa. Näin sovellus toimii, jos sitä yrittää huijata.

Suomen virallinen koronatartuntojen seurantasovellus Koronavilkku herättää epäilyksiä. Liikkeellä on väitteitä, joiden mukaan sovelluksessa voisi ilmoittaa koronainfektiostaan millä koodilla tahansa.

– Ei pidä paikkaansa. Väärinkäsitys voi syntyä siitä, että infektiota voi *yrittää* ilmoittaa millä koodilla tahansa. Taustajärjestelmä hylkää väärennetyt ilmoitukset, Koronavilkun kehittäneen Solitan teknologia-asiantuntija Sami Köykkä oikoo Twitterissä.

Kun sovelluksen käyttäjä on saanut vahvistetun tiedon tartunnastaan, terveydenhuollon ammattilainen antaa hänelle kertakäyttöisen ja yksilöllisen koodin. Käyttäjä voi syöttää tämän koodin Koronavilkkuun, jolloin muut hänelle mahdollisesti altistuneet käyttäjät saavat ilmoituksen puhelimeensa.

Asiasta kirjoitti ensin Tivi. Myöskään IS Digitodayn testissä vääriä koodeja ei hyväksytty. Sovellus reagoi väärään koodin kysymällä ensin pääsyä laitteen satunnais-ID:ihin. Jos luvan antaa, seurauksena on virheilmoitus väärän koodin syöttämisestä.

Koronavilkku pyytää vielä erikseen lupaa kohtaamistietojen lähettämiseen – vaikka koodi olisi väärä. Virheilmoitus tulee seuraavassa näkymässä.­

Köykän twiitti kirvoitti jatkokysymyksen siitä, voisiko joku rakentaa kaikki mahdolliset numerosarjat läpikäyvän robotin sovelluksen huijaamiseksi. Tämä olisi niin sanottu brute force -hyökkäys, jossa järjestelmälle syötetään koodeja, kunnes toimiva löytyy. Köykän mukaan sellainen hyökkäys ei ole mahdollinen Koronavilkkua vastaan, sillä siihen on varauduttu.

Toinen Twitter-käyttäjä kysyi, eikö avauskoodiin voisi lisätä tarkistussumman, jotta koodin voisi varmistaa oikeaksi esimerkiksi kirjoitusvirheiden varalta jo syötettäessä. Köykän mukaan se ei olisi hyvä idea, koska se helpottaisi huomattavasti brute force -hyökkäyksiä.

– Sen sijaan taustajärjestelmä tarkistaa, että kyseessä on ihan oikea kertakäyttökoodi, joka ei ole ehtinyt vanhentua.

Koronavilkkuun on liittynyt muitakin epäselvyyksiä. On muun muassa luultu, että sovellus tai sen käyttämä taustajärjestelmä tallentaisi puhelinnumeroita. Tämäkään ei pidä paikkaansa. Niin ikään on epäilty, että tartunnan saanut sovelluksen käyttäjä saa muiden puhelimet piippaamaan hänen astellessaan väkijoukkoon. Tämäkään ei pidä paikkaansa.

Sovelluksesta havaittiin ongelma iPhonejen iOS-alustan uuden version 13.7 kanssa. Jos Koronavilkkua ei ollut puhelimessa ennen iOS:n päivittämistä, sovellus ei toiminut.

THL ja Köykkä kertoivat Twitterissä, että vika on nyt korjattu. Apple on kuitenkin varoittanut, että korjaus voi tavoittaa käyttäjät parin kolmen päivän viiveellä. THL:n mukaan korjaus liittyi ”maantieteellisten alueiden rajoituksiin (manner-Suomen FI ja Ahvenanmaan AX), joiden käsittely oli muuttunut käyttöjärjestelmäpäivityksessä”. Samalla THL varautuu jo iOS 14:n tuloon.