Ohjelmistoyhtiö Solitan konsultti kiistää, että Koronavilkku-sovellusta voisi huijata antamalla vääriä tartuntakoodeja.
Terveyden ja hyvinvoinnin laitos (THL) ja ohjelmistoyhtiö Solita julkaisivat Koronavilkku-sovelluksen maanantaina. Sovelluksen toimintaperiaatteisiin kuuluu, että tartunnan saanut henkilö tekee asiasta sovelluksen kautta ilmoituksen. Tämä tapahtuu terveydenhuollon ammattilaiselta tai THL:ltä saadun avauskoodin avulla.
"Avauskoodilla voit jakaa nimettömästi tiedon tartunnastasi", sovellus ohjeistaa ja esittää kentän, johon koodi voidaan syöttää.
Lue myös: Hakkeri oli vielä keväällä epäuskoinen koronasovelluksen turvallisuudesta, mutta nyt suosittelee sen käyttöä: "Se on pieni hinta siitä, että voi pelastaa jonkun hengen"
Jotkut kuitenkin epäilevät, että infektion voisi ilmoittaa millä koodilla tahansa. Näin sanoo Solitan konsultti Sami Köykkä Twitterissä.
– Verkossa liikkuu huhuja, joiden mukaan infektion voisi ilmoittaa millä koodilla tahansa. Ei pidä paikkaansa. Väärinkäsitys voi syntyä siitä että infektiota voi yrittää ilmoittaa millä koodilla tahansa. Taustajärjestelmä hylkää väärennetyt ilmoitukset Köykkä kirjoittaa.
Tivin toimitus testasi, mitä sovellus tekee, jos siihen syöttää sattumanvaraisen koodin. Ensikokeilulta näyttäisi siltä, että sovellus hyväksyy keksityn koodin. Koodin syöttämisen jälkeen ruudulle ilmestyy push-ilmoitus, jossa varmistetaan suostumus laitteen satunnais-ID:n jakamiseen.
”Sallitko, että Koronavilkku saa laitteesi satunnais-ID:t?”
Kun kysymykseen vastaa ”Jaa”, sovellus kuitenkin ilmoittaa, että avauskoodi on virheellinen.
Myös bruteforcing- eli väsytyshyökkäykseen on Köykän mukaan varauduttu. Useiden sattumanvaraisten koodien kokeilu ei siis johda tulokseen.
– Taustajärjestelmä tarkistaa, että kyseessä on ihan oikea kertakäyttökoodi, joka ei ole ehtinyt vanhentua, Köykkä kommentoi julkaisuaan.
Koronavilkku-sovellus otettiin käyttöön maanantaina, ja miljoonan latauksen raja rikottiin jo tiistaina.