Raport bezpieczeństwa oparty na analizie kodu źródłowego aplikacji NHS do śledzenia kontaktów ujawnił kilka poważnych luk w zabezpieczeniach oprogramowania.
Jak donosi Business Insider:
Według ekspertów ds. Cyberbezpieczeństwa, którzy przeanalizowali jej kod źródłowy, aplikacja do śledzenia kontaktów rządu Wielkiej Brytanii ma szereg poważnych luk w zabezpieczeniach.
We wtorek opublikowano raport dwóch ekspertów ds. Cyberbezpieczeństwa, dr Chrisa Culnane'a i Vanessy Teague. Zidentyfikowali siedem zagrożeń bezpieczeństwa związanych z aplikacją, która jest obecnie testowana na Isle of Wight i ma zostać wdrożona w pozostałej części Wielkiej Brytanii w ciągu najbliższego tygodnia lub dwóch.
Raport, o którym mowa, pochodzi z Stan tegoi dwóch ekspertów ds. cyberbezpieczeństwa z Australii. Trzeba przyznać, że w raporcie zauważono, że wysiłki Wielkiej Brytanii mają lepsze łagodzenie niż Singapur i Jednak australijska aplikacja nie jest przekonana, że „dostrzegane korzyści ze scentralizowanego śledzenia przeważają ryzyko. "
Jak podsumował Business Insider:
Luki obejmują takie, które mogą pozwolić hakerom na przechwytywanie powiadomień i jedno i drugie zablokuj ich lub wyślij fałszywych, mówiąc ludziom, że mieli kontakt z kimś, kto je nosi COVID-19. Naukowcy zauważyli również, że niezaszyfrowane dane przechowywane w telefonach użytkowników mogą być w praktyce dostępne dla organów ścigania. Chociaż rząd Wielkiej Brytanii nalegał, aby dane zostały wykorzystane do niczego innego niż odpowiedź na COVID-19, grupa 177 osób Eksperci ds. cyberbezpieczeństwa wezwali już ją do wprowadzenia zabezpieczeń chroniących dane przed ponownym przeznaczeniem inwigilacja.
Co więcej, co zaskakujące, obracający się losowy kod ID, który służy do ochrony prywatności użytkowników, zmienia się tylko raz dziennie. Dla porównania API Apple i Google robi to co 10-20 minut.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
W kolejnym, być może nawet bardziej szokującym odkryciu, National Cyber Security Center opublikowało odpowiedź na raport, zwracając uwagę na następujące kwestie dotyczące szyfrowania:
Wersja beta aplikacji nie szyfruje danych o zdarzeniach kontaktu zbliżeniowego w telefonie i nie szyfrujemy ich niezależnie przed wysłaniem na serwer. Więc kiedy jest przesyłany do zaplecza, jest chroniony tylko przez TLS. Jeśli Cloudflare się zepsuł (lub ktoś je złamał), mogliby uzyskać dostęp do danych dziennika zbliżeniowego. Zespół NHS absolutnie rozumie, że dane mają wartość i muszą być odpowiednio chronione, ale szyfrowanie dzienników zbliżeniowych po prostu nie mogło zostać wykonane na czas przed wersją beta. Zostanie to naprawione i dodatkowo ograniczy fizyczny dostęp do powyższych dzienników.
„Po prostu nie udało się zrobić na czas wersji beta”. Zamiast opóźniać wydanie wersji beta, aby mogli, wiesz, zaszyfrować dane, NHSX i tak po prostu wypchnął aplikację. Świetna robota dla wszystkich.
Podsumowując, raport stwierdza:
Istnieją godne podziwu części wdrożenia, a po dokonaniu wspomnianych już zmian i aktualizacji wiele z obaw poruszonych w niniejszym raporcie zostanie rozwiązanych. Pozostają jednak pewne obawy co do sposobu równoważenia prywatności i użyteczności. Długotrwałe wartości BroadcastValues i szczegółowe rekordy interakcji pozostają problemem. Chociaż rozumiemy, że bardziej szczegółowe zapisy mogą być pożądane w przypadku modeli epidemiologicznych, należy je zrównoważyć z prywatnością i zaufaniem, jeśli ma nastąpić wystarczające przyjęcie aplikacji.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe budżetowe telefony z Androidem One poniżej 200 USD.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Zabezpiecz swój dom dzwonkami i zamkami SmartThings.
Jedną z najlepszych rzeczy w SmartThings jest to, że możesz używać wielu innych urządzeń innych firm w swoim systemie, w tym dzwonków do drzwi i zamków. Ponieważ wszystkie one zasadniczo mają tę samą obsługę SmartThings, skupiliśmy się na tym, które urządzenia mają najlepsze specyfikacje i sztuczki, aby uzasadnić dodanie ich do arsenału SmartThings.