Nevetséges biztonsági hibákat fedeztek fel az NHS kapcsolatfelvételi alkalmazásában

Az NHS kapcsolattartó alkalmazásának forráskód-elemzésén alapuló biztonsági jelentés számos súlyos biztonsági hibát tárt fel a szoftverben.

Amint arról beszámolt Üzleti bennfentes:

Az Egyesült Királyság kormányának kapcsolatfelkutató alkalmazásának számos súlyos biztonsági hibája van a forráskódját elemző kiberbiztonsági szakértők szerint.

Két kiberbiztonsági szakértő, Dr. Chris Culnane és Vanessa Teague jelentése jelent meg kedden. Hét biztonsági kockázatot azonosítottak az alkalmazás körül, amelyet jelenleg a Wight-szigeten próbálnak ki, és amelyet az Egyesült Királyság többi részében várhatóan a következő egy-két héten belül bevezetnek.

A szóban forgó jelentés származik Állapota, és két ausztráliai kiberbiztonsági szakértő. Az alkalmazás érdeme, hogy a jelentés megjegyzi, hogy az Egyesült Királyság erőfeszítései jobban enyhítik, mint Szingapúr és Ausztrália alkalmazása azonban továbbra sem meggyőződve arról, hogy "a centralizált nyomon követés vélt előnyei felülmúlják annak kockázatai. "

A Business Insider összefoglalása:

A sérülékenységek közé tartozik egy, amely lehetővé teszi a hackerek számára az értesítések elfogását blokkolja őket, vagy küldjön hamisakat, akik elmondják az embereknek, hogy kapcsolatba léptek valakivel COVID-19. A kutatók azt is megjegyezték, hogy a felhasználók kézibeszélőin tárolt, titkosítatlan adatokhoz a bűnüldöző szervek ténylegesen hozzáférhetnek. Bár az Egyesült Királyság kormánya ragaszkodott ahhoz, hogy az adatokat a COVID-19 válaszán kívül másra használják, egy 177 a kiberbiztonsági szakértők már felszólították, hogy vezessenek be olyan biztosítékokat, amelyek megvédik az adatokat az újrafeldolgozástól felügyelet.

Nem csak, de megdöbbentően, a felhasználók magánéletének védelmére használt, forgó véletlenszerű azonosító kód csak naponta egyszer változik. Ehhez képest az Apple és a Google API-ja ezt 10-20 percenként teszi.

Egy további, talán még megdöbbentőbb leleplezésben a Nemzeti Kiberbiztonsági Központ válaszot tett közzé a jelentésre, megjegyezve a titkosítással kapcsolatban a következőket:

Az alkalmazás béta verziója nem titkosítja a telefon közelségi kapcsolat eseményeinek adatait, és a szerverre történő elküldés előtt nem titkosítjuk azokat önállóan. Tehát amikor átkerül a háttérbe, csak a TLS védi. Ha a Cloudflare megromlott (vagy valaki kompromittálta őket), hozzáférést kaphat a közelségi napló adataihoz. Az NHS csapata teljesen megértette, hogy az adatoknak értéke van, és megfelelő védelemben kell részesíteni őket, de a közelségi naplók titkosítását nem sikerült időben megtenni a béta számára. Ez kijavításra kerül, és emellett enyhíti a fenti naplók fizikai elérését.

"Csak nem sikerült időben elkészíteni a béta verziót." Ahelyett, hogy késleltetné a béta kiadását, hogy tudják, titkosítani tudják az adatokat, az NHSX úgyis csak kiszorította az alkalmazást. Nagyszerű munka mindenkinek.

A jelentés befejezésként kijelenti:

A megvalósításnak csodálatra méltó részei vannak, és amint a már említett változtatások és frissítések megtörténnek, a jelentésben felvetett számos aggály megoldásra kerül. Azonban továbbra is aggodalomra ad okot a magánélet és a hasznosság kiegyensúlyozása. A hosszú életű BroadcastValues ​​és a részletes interakciós rekordok továbbra is aggodalomra adnak okot. Noha megértjük, hogy részletesebb feljegyzésekre lehet szükség az epidemiológiai modellek esetében, az alkalmazás megfelelő elfogadásához egyensúlyban kell lennie a magánélettel és a bizalommal.