Finnish corona-virus tracing app is named Koronavilkku. The Koronavilkku smartphone app is published to help break infection chains.
Users in Finland can download Koronavilkku to a smart phone (iOS or Android) free of charge from the most popular app stores and the app can be instantaneously downloaded via the links on the koronavilkku.fi website. Koronavilkku has been published in Finnish and Swedish (English version is planned).

The Koronavilkku app will allow people to participate in preventing the spread of the virus. Through the app, people exposed to the virus can be reached and infection chains can be stopped faster.


“The Koronavilkku mobile app is part of the Government’s test, trace, isolate and treat strategy. The app makes it more efficient to reach people exposed to the virus and refer them to treatment. This way, infection chains can also be broken more efficiently”, says Kirsi Varhila, Permanent Secretary of the Ministry of Social Affairs and Health.

The use of Koronavilkku is voluntary, but the more people download it, the more helpful it will be. Now 1.7 million people have loaded Koronavilkku app, which means that coverage is 30% of people in Finland. The app has already sent out many alarms, including Finnish prime minister got alarm with Koronavilkku and she locked herself into the prime minister home for self quarantine.

Budget for app was 6 million Euro (around one million used at the moment). The app development itself cost 147 000 Euro.

Koronavilkku has been designed with security in mind. Koronavilkku does not store your name, date of birth or contact information. It cannot identify you or the people you come into contact with. The app does not collect information about where you are. The app works using regularly changing and randomly generated codes. Users of the app cannot be directly identified from these codes. All communication between Koronavilkku and the server is encrypted. A Finnish known hacker Benjamin Särkkä was suspicious in the spring on all COVID-19 tracing apps, but now has changed the view so that he does now see Koronavikku as serious security risk and recommends installing this app.

Koronavilkku is open source software. License is EUPL-1.2 (European Union Public Licence). Any interest to look at COVID-19 exposure tracking app source code? The source code for the Finnish COVID-19 exposure tracking app(s) is now public at https://www.solita.fi/thl-ja-solita-julkaisivat-koronavilkun-lahdekoodin/

Android app: https://github.com/THLfi/koronavilkku-android
iOS app: https://github.com/THLfi/koronavilkku-ios
Backend system: https://github.com/THLfi/koronavilkku-backend

The COVID-19 exposure notifications Android and iOS app for the Finnish Institute for Health and Welfare (THL) uses Exposure Notifications API which is a joint effort between Apple and Google to provide the core functionality for building iOS and Android apps to notify users of possible exposure to confirmed COVID-19 cases. Bluetooth functionality includes all broadcasts and scans for BLE beacons, along with local database storage.

The backend uses Java 11 and PostgreSQL 12.


    Tältä näyttää hartaasti odotettu koronasovellus Koronavilkku – tavoitteena miljoona suomalaista käyttäjää
    Eniten hyötyä sovelluksesta on tiheästi asutuilla kaupunkialueilla ja muun muassa julkisessa liikenteessä.


    Tämän takia paha bluetooth-aukko ei koske Koronavilkkua Itse pidän
    huoletta päällä
    Jopa miljardeja laitteita koskeva bluetooth-haavoittuvuus nimeltä
    Blesa ei vaikuta mitenkään Koronavilkkuun, vaikka se nojaakin
    ongelmalliseksi todettuun bluetooth low energy (ble) -toimintoon.
    Asiasta kertoo Koronavilkun toteuttaneen Solitan
    teknologia-asiantuntija Sami Köykkä Twitterissä. Koronavilkun käyttö
    on turvallista, koska se ei käytä haavoittuvuuden hyödyntämiseen
    tarvittavaa toimintoa.

    Your smartphone may be able to guess whether you’ve been exposed to the COVID-19 virus, but will it invade your privacy while doing so?

    Contact Tracing Apps Struggle to Be Both Effective and Private

    Koronavilkku ei kerro kaikkea – näin syntyy ”haamuosuma” https://www.is.fi/digitoday/mobiili/art-2000006653504.html

    Building a track and trace app is a complex and daunting task. Security must be your utmost priority. Implementing managed mobile application testing framework is important. Plus, you must ensure this includes correct security tooling.

    Developing a COVID-19 track and trace app — through the lens of Synopsys

    The rapidly evolving COVID-19 emergency has set off a global race to trace, and Synopsys offers key considerations for track and trace application development.

    Top takeaway: Application security is vital

    As a global leader in innovation, Synopsys understands the challenges and roadblocks associated with the development process, particularly the difficulties of AppSec. The importance of application security, especially given that users will need to share personal data in any track and trace app, can’t be overstated, but it seems to have largely taken a back seat in the preliminary wave of track and trace apps. Numerous reports have already emerged noting privacy failures, potential hacking events, and development U-turns.

    Challenge considerations: User adoption

    Perhaps the most pressing challenge of a successful track and trace application is user adoption. Personal data concerns, motivations for use, and overall security doubts pose a challenge—and that’s before an application even enters the development phase. Synopsys senior security consultant Bhavin Shah notes that an application would need a minimum of 60% user adoption to be at all effective. Without adequately addressing security concerns and demonstrating robust security measures, application adoption is set to fail.

    Keys to a successful and secure application

    After researching current market offerings and addressing initial shortcomings, Shah and Ashworth provide their ultimate recipe for a successful track and trace application. Given their deep understanding of how security functions in the development space, the following can be seen as a launching point for your application development planning:

    Good design removes 50% of your security worries. Incorporate security activities into your design phase to prevent costly vulnerabilities later in the SDLC.
    Document and be totally transparent—user trust is paramount. Openness will go a long way in encouraging application adoption.
    Carefully select your open source components. Use adequate security and testing measures when selecting open source code to avoid vulnerabilities and legal complications. Knowing what risks might be hidden in your code is imperative.
    Automate security testing during implementation. Using automated testing solutions and services, like those Synopsys offers, protects you without slowing you down.
    Perform a final pen test on the deployed solution. Pen testing services from Synopsys help identify vulnerabilities that more traditional testing solutions may miss.
    Review your deployment and patch your app. Final checks for security with a robust suite of AppSec tools helps guarantee application security.

    Koronavilkussa paha ongelma – ”Vika koskee pitkiä, yhtäjaksoisia altistumistilanteita”
    Teknologiayhtiö Solita korjaa ongelmaa parhaillaan.

    Koronatartuntojen seurantaan tarkoitetusta Koronavilkku-sovelluksesta on löytynyt ongelma. Koronavilkun kehittäneen Solitan teknologia-asiantuntija Sami Köykkä kirjoitti Twitter-tililleen jo eilen ongelmasta.

    – Olemme saaneet raportteja saamatta jääneistä altistusvaroituksista useampia tunteja tai päiviä kestävien yhtämittaisten altistusten yhteydessä (esim. perheiden sisällä) ja paikantaneet kansainvälisessä yhteistyössä ongelman EN-rajapintaan. Korjaustoimenpiteet jo käynnissä! Köykkä tviittaa.

    Kyse on siis tilanteista, joissa koronalle sairastunut ihminen ja toinen sovellusta käyttävä ihminen ovat olleet samassa tilassa. Koronalle sairastunut ihminen on ilmoittanut sovellukseen tartunnastaan, mutta varoitus ei ole mennyt perille muille sovelluksen käyttäjille.

    Terveyden ja hyvinvoinnin laitoksen (THL) torstai-iltapäivänä julkaisemassa tiedotteessa kerrotaan, että ongelma on edelleen läsnä ja Solita korjaa parhaillaan ongelmaa, joka koskee useiden tuntien mittaisia altistumistilanteita.

    THL:n mukaan tällaisia tilanteita voivat olla esimerkiksi kodeissa tapahtuvat altistumiset, joissa yhdellä perheestä on todettu tartunta. Ongelma on se, että koronavilkku ei ole lähettänyt näistä kohtaamisista altistumisilmoituksia muille perheenjäsenille.

    – Vika on käyttöjärjestelmän rajapinnassa, ja korjaamme sitä parhaillaan. Vika koskee pitkiä, yhtäjaksoisia altistumistilanteita. Se ei vaikuta satunnaisten kohtaamisten seurantaan, sanoo Solitan teknologia-asiantuntija Sami Köykkä tiedotteessa.

    Noin tuhat ihmistä on tehnyt Koronavilkun ilmoituksen perusteella oirearvion Omaolo-palvelussa. Sovellusta on ladattu nyt yli 2,2 miljoonaa kertaa.

    Käyttäjät tekivät Koronavilkun kautta 600 tartuntailmoitusta syyskuussa – varmista, että sinulla on sovelluksen uusin versio

    Koronavilkun käyttäjät tekivät sovelluksessa 600 ilmoitusta koronavirustartunnasta syyskuussa. Tämä tarkoittaa sitä, että noin joka kolmas syyskuussa viruksen saanut ilmoitti tartunnastaan Koronavilkun kautta.

    Käyttäjä ilmoittaa tartunnastaan syöttämällä sovellukseen kertakäyttöisen avauskoodin. Avauskoodin antaa tartuntatautien jäljittäjä samalla kun hän haastattelee tartunnan saanutta. Koodin syöttämisen jälkeen sovellus lähettää tiedon niille, jotka ovat voineet altistua tartunnalle.

    Noin tuhat ihmistä on tehnyt Koronavilkun ilmoituksen perusteella oirearvion Omaolo-palvelussa. Omaolon lisäksi altistumisilmoitukset ovat poikineet yhteydenottoja esimerkiksi työterveyshuoltoon. Näiden yhteydenottojen lukumäärästä THL:ssä ei ole tietoja.

    Yksityisyydensuojan takia myöskään altistusilmoitusten kokonaismäärästä ei ole tietoa.

    Koronavilkusta on julkaistu uudet versiot. Päivityksessä on ratkaistu yleisimpiä ongelmia, jotka ovat saattaneet haitata sovelluksen toimintaa.

    While technology provided the possibility for us to work, study, or shop remotely during the quarantine, this fast digital leap also had human rights implications.

    COVID-19 tracing: technology is not the savior. Or is it?

    Some governments used the health crisis to cement their power and limit human rights both online and offline, argue human rights watchdogs. Meanwhile, companies, such as Google, brag about helping combat the pandemic while protecting people’s privacy.

    While technology provided the possibility for us to work, study, or shop remotely during the quarantine, this fast digital leap also had human rights implications.

    “Past 6-7 months have proven that people don’t have any reason to trust most governments, that at (…) worst have used the crisis to centralize and cement their power, and limit human rights online and offline,” European Policy Manager at Access Now Fanny Hidvégi said in a United Nations discussion about protecting human rights during the pandemic.

    Meanwhile, some countries, such as Finland, and companies, such as Google, point out the success stories of harnessing the technology to mitigate the pandemic.

    Silvio Gonzato, Ambassador, Deputy Head of Delegation of the European Union to the United Nations, said that technologies opened various opportunities for people during the quarantine. Children were able to study, while their parents could work remotely.

    “Technologies facilitated access to culture at a time when all the cultural establishments were closed,” he said.

    It also allowed researchers to share information on the findings, and to trace the spread of the virus.

    “On the other hand, tracing apps have been at the heart of a very heated debate around the world. Concerns regarding the potential misuse and potential data privacy breaches emerged,” Silvio Gonzato said.

    Countries like France, Finland, or Germany, developed contact tracing apps, and the European Union developed a toolbox and continues to update technical guidance.

    “Tracing apps must be voluntary, secure, and interoperable, and respect privacy. Apps should avoid the identification of users and should not use the geolocation. All the applications must be temporary only, and will have to be dismantled as soon as the pandemic is over, and should retain data only for the minimum period of time,” he explained.

    Finland’s contact tracing app has been rather successful as 2.2 million people out of 5.5 million citizens have downloaded the app.

    “We heard from public health officials that anonymized aggregated data would be helpful for them to make critical decisions around COVID-19. The officials that we spoke to said that these types of insights on how populations were moving would be useful in understanding how to make changes based on those changing trends,” said Alexandria Walden, Global Policy Lead for Human Rights and Free Expression at Google.

    roughly two-thirds of Americans are worried that the tracking measures used to contain the spread of the virus could lead to greater government surveillance.

    In addition, the vast majority of survey respondents (~79%) were either somewhat worried or very worried that intrusive tracking measures enacted by the government would continue long after the COVID-19 pandemic has been defeated, with only ~9% not being worried at all.

    Jo 2,5 miljoonaa suomalaista on ladannut koronavilkun

    Sosiaali- ja terveysministeriö (STM) ja terveyden ja hyvinvoinnin laitos järjestävät jokaviikkoisen tiedotustilaisuutensa Suomen epidemiologisesta tilanteesta.

  9. Tomi Engdahl says:

  10. Tomi Engdahl says:

    Why Aren’t COVID Tracing Apps More Widely Used?

    As the COVID-19 pandemic began to sweep around the globe in early 2020, many governments quickly mobilized to launch contract tracing apps to track the spread of the virus. If enough people downloaded and used the apps, it would be much easier to identify people who have potentially been exposed. In theory, contact tracing apps could play a critical role in stemming the pandemic.

    In reality, adoption of contract tracing apps by citizens was largely sporadic and unenthusiastic.

    Koronavilkku aiheuttaa tartunnanjäljittäjille jopa enemmän haittaa kuin hyötyä – ylilääkäri: “Olen poistanut sovelluksen kotipuhelimestani”
    Koronavilkku-sovellus otettiin käyttöön puoli vuotta sitten ja tähän mennessä se on ladattu jo 2,3 miljoonaan älypuhelimeen. Sovelluksen tarkoitus on nopeuttaa virukselle altistuneiden tavoittamista ja tartuntaketjujen katkaisemista, mutta onko Koronavilkusta oikeasti hyötyä?

    Iltalehden haastattelemien lääkärien(siirryt toiseen palveluun) mukaan sovelluksen hyöty koronavirustartuntojen jäljityksessä on pieni, ja samansuuntaista viestiä kertoo Ylen kuudelle sairaanhoitopiirille tekemä kysely.

    Yle kysyi kuudesta sairaanhoitopiiristä, mitä hyötyä Koronavilkku-sovellus on tuonut. Kaikkien mukaan saatu hyöty on jäänyt vähäiseksi tai olemattomaksi

    Ensi kuussa Koronavilkun käyttäjä voi päästä testiin altistumisilmoituksen perusteella

    Koronavilkku-sovelluksesta julkaistaan maaliskuun alussa päivitys, jossa käyttäjälle annetaan mahdollisuus hakeutua testiin altistumisilmoituksen perusteella. Tähän mennessä Koronavilkun altistumisilmoituksen saaneiden henkilöiden on suositeltu hakeutumaan testiin vain, jos heillä on oireita.

    Muutos astuu voimaan 4. maaliskuuta, jolloin Koronavilkku-sovelluksesta julkaistaan päivitysversio. Uudessa sovellusversiossa altistumisilmoituksen saanutta käyttäjää kehotetaan ottamaan yhteyttä terveydenhuoltoon, josta käyttäjä saa ohjeita esimerkiksi testaamiseen liittyen. Sovelluksessa on kuntakohtaiset ohjeet yhteydenottoa varten.

    Muutos perustuu sosiaali- ja terveysministeriön 11.2.2021 päivittämään testausstrategiaan, jossa oireettomia käyttäjiä ohjeistetaan hakeutumaan testaukseen mahdollisimman pian Koronavilkun altistumisilmoituksen saamisesta. Toimintamallin muutoksen tavoitteena on tehostaa tartuntaketjujen katkaisua entisestään.

  13. Tomi Engdahl says:

    Tuliko Koronavilkusta altistumisilmoitus? Jatkossa siitä seuraa aina testi ja omaehtoinen karanteeni, vaikka testitulos olisi negatiivinen
    THL on muuttanut ohjettaan siitä, miten sairaanhoitopiirit ohjeistavat Koronavilkusta altistumisilmoituksen saaneita.

    Muutos Koronavilkun käyttäjille: Testiin voi nyt päästä pelkän altistumisilmoituksen perusteella

    Aiemmin altistumisilmoituksen saaneita ihmisiä on suositeltu hakeutumaan testiin vain, jos heillä on oireita.

    Uudessa sovellusversiossa altistumisilmoituksen saanutta kehotetaan ottamaan yhteyttä terveydenhuoltoon, josta käyttäjä saa ohjeita esimerkiksi testaamiseen liittyen.

    Sovelluksessa on kuntakohtaiset ohjeet yhteydenottoa varten.

    Google Promised Its Contact Tracing App Was Completely PrivateBut It Wasn’t https://themarkup.org/privacy/2021/04/27/google-promised-its-contact-tracing-app-was-completely-private-but-it-wasnt
    Researchers say hundreds of preinstalled apps can access a log found on Android devices where sensitive contact tracing information is stored

    Why Google Should Stop Logging Contact-Tracing Data https://blog.appcensus.io/2021/04/27/why-google-should-stop-logging-contact-tracing-data/
    Recently, we found that Google’s implementation of GAEN logs crucial pieces of information to the system log, which can be read by hundreds of third-party apps and used for the privacy attacks that we previously warned about.

    EU selvittää väärinkäytön mahdollisuutta koronasovellusten käyttämässä rajapinnassa – Koronavilkun käyttö edelleen turvallista
    EU selvittää mahdollista tietoturva-aukkoa Android-puhelinten koronasovelluksissa, jotka hyödyntävät Googlen valmistamaa rajapintaa ja Google Play -palveluita. Toistaiseksi ei ole tullut ilmi, että rajapintaa olisi käytetty vääriin tarkoituksiin. Myös Suomessa käytössä oleva Koronavilkku-sovellus käyttää kyseistä rajapintaa.
    “Koronavilkkua voi edelleen käyttää turvallisesti. Tietoomme ei ole tullut siihen tai muissa maissa käytössä oleviin koronasovelluksiin liittyviä väärinkäytöksiä. EU selvittää mahdollista tietoturva-aukkoa yhteistyössä Googlen kanssa”, sanoo THL:n tiedonhallintajohtaja Aleksi Yrttiaho.

  17. Tomi Engdahl says:

    Koronavilkusta korjattiin haavoittuvuus suomalaiset varoittivat Googlea jo elokuussa https://www.is.fi/digitoday/tietoturva/art-2000008009832.html
    Koronavilkun Android-versiosta korjattiin haavoittuvuus, joka aiheutti lähinnä teoreettisen vaaran henkilöllisyyden paljastumiselle.
    Terveyden ja hyvinvoinnin laitos THL kertoo, että Suomesta kerrottiin aukosta Googlelle jo viime elokuussa.

    Betsy Ladyzhets / MIT Technology Review:
    An analysis of the usage of COVID-19 contact tracing apps in 25 US states and DC finds that only 13 have enough usage to benefit from exposure notification — A year ago, engineers built apps to track potential virus exposure. Our research shows the impact has been mixed—but there’s still potential.

    We investigated whether digital contact tracing actually worked in the US

    A year ago, engineers built apps to track potential virus exposure. Our research shows the impact has been mixed—but there’s still potential.

    Even creepier COVID tracking: Google silently pushed app to users’ phones [Updated]
    Massachusetts launched a COVID tracking app, and uh, it was automatically installed?!

    Over the weekend, Google and the state of Massachusetts managed to make creepy COVID tracking apps even creepier by automatically installing them on people’s Android phones. Numerous reports on Reddit, Hacker News, and in-app reviews claim that “MassNotify,” Massachusetts’ COVID tracking app, silently installed on their Android device without user consent.

    Google gave the following statement to 9to5Google, and the company does not deny silently installing an app.

    We have been working with the Massachusetts Department of Public Health to allow users to activate the Exposure Notifications System directly from their Android phone settings. This functionality is built into the device settings and is automatically distributed by the Google Play Store, so users don’t have to download a separate app. COVID-19 Exposure Notifications are enabled only if a user proactively turns it on. Users decide whether to enable this functionality and whether to share information through the system to help warn others of possible exposure.

    COVIDSafe: Australia’s digital contact tracing failure

    I’m here all by myself reading actual peer-reviewed publications from other countries where appropriate technology was rolled out to assist medical professionals whilst Australia remains in shambles.

  21. Tomi Engdahl says:

    UK Covid App Goes Offline
    People are now hugely reliant on their Covid passports. So when NHS England experienced a system outage, app users experienced some serious problems. Travellers could not check in for their flights at airports, and others were turned away from venues demanding proof at the entrance.

    TS: Sairaanhoitopiirit haluavat luopua Koronavilkun käytöstä – ”Sovelluksesta on vain haittaa” https://www.is.fi/kotimaa/art-2000008533419.html

  23. Tomi Engdahl says:

    Catching the common cold can help fend off COVID, study finds

    Researchers found higher levels of T cells against certain colds in people who didn’t develop COVID while living with someone who had the disease.

    Vaccine economics is undergoing an overhaul, and new estimates of vaccines’ full value could help deliver vaccines to the Global South.

    Revealing the hidden value of vaccines

    Vaccines are one of the most successful public health measures ever designed. Understanding their full value could steer investment in the right direction.

    Koronavilkku pimeni – kehittäjä vinkkaa avaamaan sovelluksen vielä kerran https://www.is.fi/digitoday/mobiili/art-2000008862936.html

  26. Tomi Engdahl says:

    Koronavilkun käyttö päättyy keskiviikkona – parhaimmillaan sen oli ladannut noin 2,5 miljoonaa suomalaista
    Koronavilkku-sovellus ehti olla käytössä vajaan kahden vuoden ajan.

    Solitan teknologia-asiantuntijan Sami Köykän mukaan halutessaan Koronavilkun voi myös jättää puhelimeen muistoksi, vaikka sovellus ei varsinaisesti enää tee mitään.


