COVID-19 Παρακολούθηση της εφαρμογής «COVID Kaya» Διαρροές δεδομένων
Μια εφαρμογή για κινητά που έχει σχεδιαστεί για να χρησιμεύσει ως πλατφόρμα παρακολούθησης περιπτώσεων Covid-19, με την ονομασία «COVID Kaya», βρέθηκε ως ανασφαλής. Η πλατφόρμα χρησιμοποιήθηκε από γιατρούς και εργαζόμενους στον τομέα της υγειονομικής περίθαλψης για την παρακολούθηση ενεργών περιπτώσεων Covid-19 στις Φιλιππίνες.
Οι ερευνητές ανακάλυψαν τρωτά σημεία και τρύπες ασφαλείας τόσο στην εφαρμογή για κινητά όσο και στη διεπαφή ιστού. Τα ελαττώματα επέτρεψαν σε πιθανούς κακούς παράγοντες να αποκτήσουν πρόσβαση στις προσωπικές πληροφορίες των εργαζομένων στον τομέα της υγείας. Επιπλέον, τα δεδομένα των ασθενών θα μπορούσαν να είχαν εκτεθεί επίσης. Η ανακάλυψη έγινε από ερευνητές του The Citizen Lab - ενός τμήματος που εστιάζει στην ασφάλεια του Πανεπιστημίου του Τορόντο.
Η πλατφόρμα COVID Kaya κυκλοφόρησε το καλοκαίρι του 2020 και σχεδιάστηκε για να επιτρέπει στους εργαζόμενους στον τομέα της υγείας στις Φιλιππίνες να έχουν άμεση πρόσβαση σε συλλογικά δεδομένα σχετικά με ενεργές περιπτώσεις Covid-19 και να συντονίζουν αυτές τις πληροφορίες με το υπουργείο Υγείας της χώρας. Το COVID Kaya είχε εκδόσεις iOS και Android, καθώς και διεπαφή για πρόσβαση στον Ιστό.
Οι εφαρμογές για κινητές συσκευές βασίστηκαν σε κώδικα που μεταφέρθηκε χρησιμοποιώντας το Cordova - ένα περιβάλλον ανάπτυξης που επιτρέπει την εξαγωγή εφαρμογών που εστιάζουν στον Ιστό σε κινητές συσκευές.
Οι ερευνητές από το The Citizen Lab βρήκαν ευπάθειες και στις δύο εκδόσεις της εφαρμογής για κινητές συσκευές που θα επέτρεπαν σε πιθανούς κακούς φορείς να έχουν πρόσβαση σε δεδομένα που συνήθως απαιτούν διαπιστευτήρια σύνδεσης υπερήχων. Δύο ευπάθειες ασφαλείας αναφέρθηκαν από τους ερευνητές στις πλατφόρμες που βασίζονται στο Android και στον ιστό και έκτοτε έχουν διορθωθεί από την ομάδα ανάπτυξης του COVID Kaya.
Το ελάττωμα της ασφάλειας του διαδικτύου επέτρεπε μη εξουσιοδοτημένη πρόσβαση σε τελικά σημεία API και έτσι - απεριόριστη πρόσβαση στα ονόματα χιλιάδων εργαζομένων στον τομέα της υγείας που χρησιμοποιούν την πλατφόρμα Kaya. Η έκδοση Android αντιμετώπισε πρόβλημα με τη χρήση διαπιστευτηρίων API με κωδικό πρόσβασης, τα οποία επέτρεψαν ουσιαστικά σε δυνητικούς κακούς παράγοντες να έχουν πρόσβαση σε προσωπικές πληροφορίες ασθενών.
Ευτυχώς, τα ελαττώματα που ανέφεραν τα The Citizen Labs έχουν διορθωθεί και τα δυνητικά αξιοποιήσιμα διαπιστευτήρια έχουν απενεργοποιηθεί.
Αυτό είναι ένα άλλο παράδειγμα ενός ζητήματος ασφάλειας δεδομένων που σχετίζεται με την πανδημία Covid-19, μετά από πολλές εκστρατείες ηλεκτρονικού ψαρέματος, απάτες, κακόβουλα προγράμματα κακόβουλου λογισμικού και απάτες για κινητές συσκευές που εκμεταλλεύονται κάπως την παγκόσμια κατάσταση.
