Android-laitteiden koronasovelluksissa on havaittu mahdollinen tietoturva-aukko, kertoo Terveyden ja hyvinvoinnin laitos THL. Ongelma on kuitenkin sittemmin saatu korjattua, eikä haavoivttuvuuteen liittyviä väärinkäytöksiä ole ainakaan toistaiseksi tullut ilmi.

Haavoittuvuus havaittiin Googlen rajapintaa, jota myös Suomessa yleisesti käytössä oleva Koronavilkku-sovellus käyttää. Selvitys mahdollisesta haavoittuvuudesta aloitettiin huhtikuun lopussa. Tuolloin yhdysvaltalainen tietoturvayhtiö havaitsi rajapinnan tallentavan puhelinten vaihtamia tunnuskoodeja järjestelmälokiin, vaikka niitä pitäisi tallentua ainoastaan sovelluksen hyödyntämään EN-rajapintaan 14 vuorokaudeksi.

Rajapinnan mahdollinen tietoturva-aukko havaittiin myös Suomessa, ja Koronavilkun työryhmä ilmoitti asiasta Googlelle jo viime elokuussa. THL ja Kyberturvallisuuskeskus kuitenkin pitivät riskejä niin epätodennäköisinä, että ne voitiin lopulta hyväksyä.

Mahdollisuus käyttäjien henkilöllisyyksien paljastumiselle olisi ollut olemassa, mikäli koodeja olisi kerätty useista laitteista ja yhdistetty muohon tietoihin. Tiedossa ei kuitenkaan ole tapauksia, joissa näin olisi käynyt.