Доклад за сигурността, базиран на анализ на изходния код на приложението за проследяване на контакти на NHS, разкри няколко сериозни недостатъка в сигурността на софтуера.
Както съобщава Business Insider:
Приложението за проследяване на контакти на правителството на Обединеното кралство има редица сериозни недостатъци в сигурността според експерти по киберсигурност, които са анализирали изходния му код.
Доклад на двама експерти по киберсигурност, д-р Крис Кълън и Ванеса Тиг, беше публикуван във вторник. Те идентифицираха седем рискове за сигурността около приложението, което в момента се тества на остров Уайт и се очаква да бъде пуснато до останалата част на Великобритания през следващата седмица или две.
Въпросният доклад идва от Състояние на товаи двама експерти по киберсигурност със седалище в Австралия. За чест на приложението, докладът отбелязва, че усилията на Обединеното кралство имат по-добро смекчаване от Сингапур и Приложението на Австралия обаче остава неубедено, че „възприеманите ползи от централизираното проследяване надвишават неговите рискове. "
Както е обобщено от Business Insider:
Уязвимостите включват такава, която може да позволи на хакерите да прихващат известия, както и двете блокирайте ги или изпратете фалшиви такива, които казват на хората, че са влезли в контакт с някой, който носи COVID-19. Изследователите също така отбелязват, че некриптираните данни, съхранявани в телефоните на потребителите, могат да бъдат осъществими достъпно от правоприлагащите органи. Въпреки че правителството на Обединеното кралство настоява данните да не се използват за нищо друго освен за отговора му на COVID-19, група от 177 души експерти по киберсигурност вече го призоваха да въведе предпазни мерки, защитаващи данните от пренастройване наблюдение.
Не само това, но и зашеметяващо, въртящият се произволен идентификационен код, който се използва за защита на поверителността на потребителите, се променя само веднъж на ден. За сравнение, API на Apple и Google прави това на всеки 10-20 минути.
Verizon предлага Pixel 4a само за $ 10 / месец на нови неограничени линии
В следващо, може би дори по-шокиращо разкритие, Националният център за киберсигурност публикува отговор на доклада, отбелязвайки следното относно криптирането:
Бета версията на приложението не криптира данните за събитията за контакт в близост по телефона и ние не ги криптираме независимо, преди да ги изпратим на сървъра. Така че, когато се прехвърли към задния край, той е защитен само от TLS. Ако Cloudflare се обърка (или някой ги компрометира), те могат да получат достъп до данните от дневника на близостта. Екипът на NHS напълно разбира, че данните имат стойност и трябва да бъдат защитени правилно, но криптирането на дневниците за близост просто не може да бъде направено навреме за бета версията. Това ще бъде фиксирано и освен това ще смекчи физическия достъп до дневниците по-горе.
„Просто не може да се направи навреме за бета версията.“ Вместо да забави пускането на бета версията, за да могат, знаете ли, да шифровате данните, NHSX така или иначе изтласка приложението. Страхотна работа на всички.
В заключение в доклада се посочва:
Има възхитителни части от изпълнението и след като бъдат направени вече споменатите промени и актуализации, много от притесненията, повдигнати в този доклад, ще бъдат адресирани. Все пак остава известна загриженост как балансират поверителността и полезността. Дълготрайните BroadcastValues и подробните записи за взаимодействието остават проблем. Въпреки че разбираме, че за епидемиологичните модели може да са желателни по-подробни записи, то трябва да бъде балансирано с неприкосновеността на личния живот и доверието, ако трябва да се осъществи достатъчно приемане на приложението.
Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.
Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.
Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.
Nokia пуска два нови бюджетни телефона Android One под $ 200.
Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получават две основни актуализации на ОС и редовни актуализации на защитата до три години.
Защитете дома си с тези звънци и брави SmartThings.
Едно от най-добрите неща за SmartThings е, че можете да използвате множество други устройства на трети страни на вашата система, включени звънци и брави. Тъй като всички те по същество споделят една и съща поддръжка на SmartThings, ние се фокусирахме върху това кои устройства имат най-добрите спецификации и трикове, за да оправдаят добавянето им към вашия арсенал SmartThings.