A kontaktkövető appok eddigi pályafutása nem épp sikertörténet: ahol működnek, ott is kevesen használják őket, és van olyan ország, ahol egy már működő verzió használatát függesztették fel adatvédelmi megfontolásokból. Az elutasítás oka azonban inkább lélektani, a biztonsági problémák ugyanis ezeknél az applikációknál jól kezelhetők.
Lássuk először, hogyan is működnek ezek a kontaktkövető megoldások. Legtöbbjük a Bluetooth Low Energy (BLE) használatán alapul. A mobilokra telepített appok jeladóként működve úgynevezett beaconokat sugároznak ki, és, és veszik a többi mobilról érkező beaconöket, amelyek mindegyike egyedi, anonim azonosítóval rendelkezik - ezeket a mobil rendre elraktározza.
Amikor valakinél kimutatják a vírusfertőzést, kap egy hivatalos kódot az egészségügyi hatóságoktól, amit be kell írnia az appba, és ezután hivatalosan is fertőzöttnek számít, az előző 14 napban használt beaconjainek azonosító-listája pedig átkerül egy központi szerverre. A többi mobil időről időre letölti a fertőzöttek azonosító-listáját, és ellenőrzi, hogy nem találkozott-e közülük valamelyikkel. Ha igen, az app a távolság és az együtt eltöltött idő alapján általában kiszámítja a fertőzés kockázatát, és ha ez meghalad egy határértéket, figyelmeztetést küld az érintettnek, jelezve, hogy vonuljon önkéntes karanténba, és lépjen kapcsolatba az egészségügyi szolgálattal.
Az adatok érzékeny volna miatt a kontaktkövető appoknak igen komoly biztonsági követelményeket kell kielégíteniük: ezek legfontosabbika az OWASP Mobile Security Testing Guide. Az appokkal kapcsolatos legfőbb biztonsági kockázat az, hogy a támadó valamilyen közvetlen módszerrel belepiszkál a forráskódba, és így állítja saját szolgálatába az eszközt. Ez főleg a JavaScript alapú appoknál valós probléma, ahol a forráskód kompilálatlan, így kiszolgáltatottabb a módosítási kísérleteknek.
Az OWASP ugyanakkor megfelelő ajánlásokat tartalmaz az applikációs kód módosítási kísérleteinek érzékelésére, és a behatolásvédelem kialakítására: ha a fejlesztők ezeket érvényesítik, bátran mondhatjuk, hogy a kontaktkövető appok használata adatvédelmi szempontból biztonságosnak tekinthető.
