NHS: n yhteystietojen jäljityssovelluksen lähdekoodianalyysiin perustuva tietoturvaraportti on paljastanut useita vakavia tietoturva-aukkoja ohjelmistossa.
Kuten raportoi Business Insider:
Yhdistyneen kuningaskunnan hallituksen kontaktien jäljityssovelluksessa on lähdekoodia analysoineiden kyberturvallisuusasiantuntijoiden mukaan useita vakavia turvallisuusvirheitä.
Kahden kyberturvallisuusasiantuntijan, tohtori Chris Culnane ja Vanessa Teague, raportti julkaistiin tiistaina. He tunnistivat seitsemän tietoturvariskiä sovelluksen ympärillä, jota parhaillaan kokeillaan Wightin saarella ja jonka on tarkoitus tulla levitettäväksi muuhun Yhdistyneeseen kuningaskuntaan seuraavan viikon tai kahden aikana.
Kyseinen raportti on peräisin Sen tilaja kaksi Australiassa sijaitsevaa kyberturvallisuusasiantuntijaa. Sovelluksen ansioksi raportissa todetaan, että Yhdistyneen kuningaskunnan ponnisteluilla on parempi lieventäminen kuin Singaporella ja Australian sovelluksessa he eivät kuitenkaan ole vakuuttuneita siitä, että "keskitetyn jäljityksen havaitut edut ovat suuremmat sen riskit. "
Yhteenvetona Business Insider:
Haavoittuvuuksiin kuuluu yksi, joka voi antaa hakkereille mahdollisuuden siepata ilmoituksia estää heidät tai lähettää väärennettyjä kertomalla ihmisille, jotka ovat joutuneet kosketuksiin kantavan henkilön kanssa COVID-19. Tutkijat totesivat myös, että lainvalvontaviranomaiset voisivat käytännössä käyttää käyttäjien matkapuhelimiin tallennettuja salaamattomia tietoja. Vaikka Yhdistyneen kuningaskunnan hallitus on vaatinut tietojen käyttöä muuhun kuin sen COVID-19-vastaukseen, 177 kyberturvallisuusasiantuntijat ovat jo pyytäneet sitä ottamaan käyttöön suojatoimia, jotka suojaavat tietoja uudelleenkäytöltä valvonta.
Paitsi että hämmästyttävän, käyttäjien yksityisyyden suojaamiseksi käytettävä pyörivä satunnaiskoodi muuttuu vain kerran päivässä. Vertailun vuoksi, Apple ja Googlen sovellusliittymä tekevät tämän 10-20 minuutin välein.
Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Kansallisessa kyberturvallisuuskeskuksessa julkaistiin seuraava, kenties vieläkin järkyttävämpi ilmoitus, joka vastasi raporttiin ja pani merkille seuraavat salausohjeet:
Sovelluksen beetaversio ei salaa puhelimen läheisyystietotapahtuman tietoja, emmekä salaa niitä itsenäisesti ennen palvelimelle lähettämistä. Joten kun se siirretään takapäähän, sitä suojaa vain TLS. Jos Cloudflare meni pieleen (tai joku vaarantaa heidät), he voivat saada pääsyn kyseisiin läheisyyslokitietoihin. NHS-tiimi ymmärtää ehdottomasti, että tiedoilla on arvoa ja ne on suojattava kunnolla, mutta läheisyyslokien salausta ei voitu tehdä ajoissa beetaa varten. Tämä korjataan ja lisäksi lieventää yllä olevien lokien fyysistä pääsyä.
"Vain ei voitu tehdä ajoissa beetaversiota varten." Sen sijaan, että viivästyttäisi beetan julkaisua, jotta he voisivat, tietysti salata tiedot, NHSX vain työnsi sovelluksen joka tapauksessa. Hienoa työtä kaikille.
Raportissa todetaan lopuksi:
Toteutuksessa on ihailtavia osia, ja kun jo mainitut muutokset ja päivitykset on tehty, monet tässä raportissa esitetyistä huolenaiheista on käsitelty. Yksityisyyden ja hyödyllisyyden tasapainottamisessa on kuitenkin edelleen jonkin verran huolta. Pitkäikäiset BroadcastValues-arvot ja yksityiskohtaiset vuorovaikutustiedot ovat edelleen huolenaihe. Vaikka ymmärrämme, että epidemiologisilla malleilla voi olla toivottavaa tarkempia tietoja, niiden on oltava tasapainossa yksityisyyden ja luottamuksen kanssa, jotta sovellusta voidaan hyväksyä riittävästi.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta, joiden hinta on alle 200 dollaria.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelinten kokoonpanoon. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännölliset tietoturvapäivitykset jopa kolmen vuoden ajan.
Suojaa kotisi näillä SmartThings-ovikelloilla ja lukoilla.
Yksi SmartThingsin parhaista asioista on, että voit käyttää järjestelmässäsi joukkoa muita kolmannen osapuolen laitteita, mukaan lukien ovikellot ja lukot. Koska niillä kaikilla on olennaisilta osin sama SmartThings-tuki, olemme keskittyneet siihen, millä laitteilla on parhaat tekniset tiedot ja perusteet niiden lisäämiseksi SmartThings-arsenaaliin.