En sikkerhedsrapport baseret på kildekodeanalyse af NHS 'kontaktsporings-app har afsløret flere alvorlige sikkerhedsfejl i softwaren.
Som rapporteret af Business Insider:
Den britiske regerings app til kontaktsporing har fået en række alvorlige sikkerhedsfejl ifølge cybersikkerhedseksperter, der analyserede dens kildekode.
En rapport fra to cybersikkerhedseksperter, Dr. Chris Culnane og Vanessa Teague, blev offentliggjort tirsdag. De identificerede syv sikkerhedsrisici omkring appen, som i øjeblikket testes på Isle of Wight og formodes at blive rullet ud til resten af Storbritannien i den næste uge eller to.
Den pågældende rapport kommer fra State of Itog to cybersikkerhedseksperter med base i Australien. Til appens kredit bemærkes i rapporten, at Storbritanniens indsats har bedre afbødning end Singapore og Australiens app forbliver dog ikke overbevist om, at "de opfattede fordele ved central sporing opvejer dets risici. "
Som opsummeret af Business Insider:
Sårbarhederne inkluderer en, der kan give hackere mulighed for at opfange meddelelser og en af dem bloker dem eller send falske dem ud, der fortæller folk, at de er kommet i kontakt med nogen, der bærer COVID-19. Forskerne bemærkede også, at ikke-krypterede data lagret på brugernes håndsæt muligvis kunne tilgås af retshåndhævelse. Selvom den britiske regering har insisteret på, at dataene ikke vil blive brugt til andet end dens COVID-19-svar, en gruppe på 177 cybersikkerhedseksperter har allerede opfordret det til at indføre beskyttelsesforanstaltninger, der beskytter dataene mod at blive genbrugt overvågning.
Ikke kun det, men forbløffende, den roterende tilfældige ID-kode, der bruges til at beskytte brugernes privatliv, ændres kun en gang om dagen. Til sammenligning gør Apple og Googles API dette hvert 10-20 minut.
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
I en yderligere, måske endnu mere chokerende åbenbaring, offentliggjorde National Cyber Security Center et svar på rapporten og noterede sig følgende om kryptering:
Betaversionen af appen krypterer ikke nærhedskontakthændelsesdataene på telefonen, og vi krypterer dem ikke uafhængigt, før de sendes til serveren. Så når den overføres til bagenden, er den kun beskyttet af TLS. Hvis Cloudflare gik dårligt (eller nogen kompromitterede dem), kunne de få adgang til nærhedslogdata. NHS-teamet forstår absolut, at data har værdi og skal beskyttes ordentligt, men kryptering af nærhedslogfiler kunne bare ikke gøres i tide til betaen. Dette vil blive rettet og vil desuden mindske den fysiske adgang til logfiler ovenfor.
"Kunne ikke gøres i tide til beta." I stedet for at forsinke frigivelsen af betaen, så de kunne, du ved, kryptere dataene, skubbede NHSX bare appen alligevel ud. Fantastisk arbejde alle sammen.
Rapporten siger som konklusion:
Der er beundringsværdige dele af implementeringen, og når de allerede nævnte ændringer og opdateringer er foretaget, vil mange af de bekymringer, der er rejst i denne rapport, blive behandlet. Der er dog stadig en vis bekymring for, hvordan privatlivets fred og nytte bliver afbalanceret. De langvarige BroadcastValues og detaljerede interaktionsregistre forbliver et problem. Mens vi forstår, at mere detaljerede optegnelser kan være ønskelige for de epidemiologiske modeller, skal det afbalanceres med privatlivets fred og tillid, hvis tilstrækkelig vedtagelse af appen skal finde sted.
Dette er de bedste trådløse ørepropper, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Beskyt dit hjem med disse SmartThings dørklokker og låse.
En af de bedste ting ved SmartThings er, at du kan bruge en række andre tredjepartsenheder på dit system, dørklokker og låse inkluderet. Da de alle i det væsentlige deler den samme SmartThings-support, har vi fokuseret på, hvilke enheder der har de bedste specifikationer og tricks til at retfærdiggøre at tilføje dem til dit SmartThings-arsenal.