Mint Security tutki Koronavilkun turvallisuuden, ei löytänyt merkittäviä ongelmia - Tietoturva - Ilta-Sanomat

Koronavilkku tutkittiin kolmanteen kertaan – näin kävi

Suomalainen tietoturvayhtiö päätti käydä Koronavilkku-sovelluksen läpi tarkalla kammalla.

28.9. 12:15

Koronavilkku-sovelluksen toteuttamisessa korostettiin tietosuojaa ja tietoturvaa. Tuoreen analyysin perusteella nämä eivät jääneet vain lupauksiksi. Sovelluksen syväluotasi suomalainen tietoturvayhtiö Mint Security, joka vaikuttui Koronavilkun turvallisuudesta.

– Sovellus paljastui hyvin laadukkaaksi tietoturvan näkökulmasta. Merkittäviä turvallisuuslöydöksiä ei ollut, Mint kiteyttää blogissaan.

Yllä olevalla videolla esitellää Koronavilkku-sovellus.

Kun Mint Security tutki Koronavilkun ensimmäisen kerran 4. syyskuuta, sovelluksesta löytyi kaikkiaan kahdeksan tietoturvaongelmaa, mutta yksikään niistä ei ollut kriittinen. Löydökset olivat keskitason tai alhaisen tason uhkia. Lisäksi ne paikat, joissa ongelmia nähtiin, eivät tyypillisesti olleet sovelluksen toiminnan kannalta oleellisia tai ne olivat jopa itse sovelluksesta erillisiä, eivätkä koskeneet sovelluksen käyttäjiä.

Koronavilkun toinen skannaus 16. syyskuuta todisti, että löydetyt ongelmat oli korjattu nopeasti sen jälkeen, niistä oli kerrottu sovelluksen kehittäjälle Solitalle. Uusi, vain iPhone-versiota koskenut skannaus löysi kolme uutta keskitason ongelmaa, jotka eivät taaskaan aiheuttaneet todellista uhkaa käyttäjille.

Sovelluksen Android-versiota ei skannattu uudelleen, koska se ei ollut muuttunut edellisestä tarkistuksesta.

Koronavilkku perustuu avoimeen koodiin, eli sen rakennuspalikat ovat vapaasti muiden tutkittavissa. Sovellus käyttää yli 60:tä ulkopuolisten tekemää sellaista ohjelmakirjastoa. Jälkimmäisen skannauksen yhteydessä näistä löytyi yksi korkeaksi luokiteltu haavoittuvuus.

Mint Security painottaa, että ulkopuolisten kirjastojen hallinta on yksi vaikeimpia ohjelmistokehitykseen liittyviä haasteita. Tässä tapauksessa kävi niin, että aukko löytyi Mintin tekemän kahden skannauksen välillä, eikä se ollut Koronavilkun kehittäjien syytä.

Kokonaisuutena Koronavilkku selvisi Mintin analyysistä erinomaisesti ja sen tulokset olivat selvästi keskimääräistä parempia.

Koronavilkku on saanut tietoturvastaan kehuja ennenkin. Toinen suomalainen tietoturvayhtiö Nixu totesi sovelluksen turvalliseksi, kun Helsingin Sanomat pyysi yhtiötä käymään sen koodin läpi.

Ennen Koronavilkun julkaisua Suomen tietoturvaviranomainen Kyberturvallisuuskeskus totesi omassa arvionnissaan, että sovelluksen kehittämisessä on tehty hyvää työtä.

Osion tuoreimmat

Luitko jo nämä?