Un rapport de sécurité basé sur l'analyse du code source de l'application de traçage des contacts du NHS a révélé plusieurs failles de sécurité graves dans le logiciel.
Tel que rapporté par Interne du milieu des affaires:
L'application de suivi des contacts du gouvernement britannique présente un certain nombre de failles de sécurité graves, selon des experts en cybersécurité qui ont analysé son code source.
Un rapport de deux experts en cybersécurité, le Dr Chris Culnane et Vanessa Teague, a été publié mardi. Ils ont identifié sept risques de sécurité autour de l'application, qui est actuellement testée sur l'île de Wight et qui devrait être déployée dans le reste du Royaume-Uni dans la semaine ou les deux prochaines.
Le rapport en question provient de État de celui-ciet deux experts en cybersécurité basés en Australie. Au crédit de l'application, le rapport note que l'effort du Royaume-Uni a une meilleure atténuation que Singapour et L'application de l'Australie, cependant, n'est toujours pas convaincue que "les avantages perçus du traçage centralisé l'emportent sur ses risques. "
Comme résumé par Business Insider:
Les vulnérabilités en incluent une qui pourrait permettre aux pirates d'intercepter les notifications et soit les bloquer ou envoyer des faux en disant aux gens qu'ils sont entrés en contact avec quelqu'un qui porte COVID-19 [FEMININE. Les chercheurs ont également noté que les données non cryptées stockées sur les combinés des utilisateurs pourraient être accessibles aux forces de l'ordre. Bien que le gouvernement britannique ait insisté sur le fait que les données ne seraient utilisées que pour sa réponse COVID-19, un groupe de 177 les experts en cybersécurité l'ont déjà appelé à introduire des garanties protégeant les données contre une réutilisation pour surveillance.
Non seulement cela, mais de manière stupéfiante, le code d'identification aléatoire rotatif qui est utilisé pour protéger la confidentialité des utilisateurs ne change qu'une fois par jour. En comparaison, l'API d'Apple et de Google le fait toutes les 10 à 20 minutes.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Dans une autre révélation, peut-être encore plus choquante, le National Cyber Security Center a publié une réponse au rapport, notant ce qui suit sur le cryptage:
La version bêta de l'application ne crypte pas les données d'événement de contact de proximité sur le téléphone et nous ne les cryptons pas de manière indépendante avant de les envoyer au serveur. Ainsi, lorsqu'il est transféré vers le back-end, il est protégé uniquement par TLS. Si Cloudflare tournait mal (ou si quelqu'un les compromettait), ils pourraient avoir accès à ces données du journal de proximité. L'équipe du NHS comprend absolument que les données ont de la valeur et doivent être protégées correctement, mais le chiffrement des journaux de proximité n'a tout simplement pas pu être effectué à temps pour la version bêta. Ce problème sera résolu et atténuera en outre l'accès physique aux journaux ci-dessus.
"Cela ne pouvait tout simplement pas être fait à temps pour la version bêta." Plutôt que de retarder la sortie de la version bêta pour qu'ils puissent, vous savez, chiffrer les données, NHSX a quand même sorti l'application. Excellent travail tout le monde.
Le rapport déclare en conclusion:
Il y a des parties admirables de la mise en œuvre et une fois que les modifications et mises à jour déjà mentionnées auront été apportées, bon nombre des préoccupations soulevées dans ce rapport auront été résolues. Cependant, la façon dont la vie privée et l'utilité sont équilibrées reste préoccupante. Les BroadcastValues à longue durée de vie et les enregistrements d'interaction détaillés restent un sujet de préoccupation. Bien que nous comprenions que des enregistrements plus détaillés peuvent être souhaitables pour les modèles épidémiologiques, ils doivent être équilibrés avec la confidentialité et la confiance si une adoption suffisante de l'application doit avoir lieu.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.
Sécurisez votre maison avec ces sonnettes et serrures SmartThings.
L'une des meilleures choses à propos de SmartThings est que vous pouvez utiliser une multitude d'autres appareils tiers sur votre système, sonnettes et serrures incluses. Comme ils partagent tous essentiellement le même support SmartThings, nous nous sommes concentrés sur les appareils dotés des meilleures spécifications et astuces pour justifier leur ajout à votre arsenal SmartThings.