La aplicación de seguimiento COVID-19 'COVID Kaya' filtra datos

Se descubrió que una aplicación móvil diseñada para servir como plataforma de seguimiento de casos Covid-19, llamada 'COVID Kaya', era insegura. La plataforma fue utilizada por médicos y trabajadores de la salud para realizar un seguimiento de los casos activos de Covid-19 en Filipinas.

Los investigadores descubrieron vulnerabilidades y agujeros de seguridad tanto en la aplicación móvil como en su interfaz web. Las fallas permitieron a los posibles malos actores tener acceso a la información personal de los trabajadores de la salud. Además, los datos de los pacientes también podrían haber estado expuestos. El descubrimiento fue realizado por investigadores de The Citizen Lab, una división de la Universidad de Toronto centrada en la seguridad.

La plataforma COVID Kaya se lanzó en el verano de 2020 y fue diseñada para permitir que los trabajadores de la salud en Filipinas tengan acceso inmediato a datos colectivos sobre casos activos de Covid-19 y coordinen esta información con el ministerio de salud del país. COVID Kaya tenía versiones de iOS y Android, así como una interfaz para acceso web.

Las aplicaciones móviles se basaron en un código portado mediante Cordova, un entorno de desarrollo que permite exportar aplicaciones centradas en la web a dispositivos móviles.

Los investigadores de The Citizen Lab encontraron vulnerabilidades en ambas versiones móviles de la aplicación que permitirían a los posibles delincuentes acceder a datos que normalmente requerirían credenciales de inicio de sesión de superusuario. Los investigadores informaron de dos vulnerabilidades de seguridad en las plataformas Android y basadas en la web y desde entonces el equipo de desarrollo de COVID Kaya las ha parcheado.

La falla de seguridad web permitió el acceso no autorizado a los puntos finales de la API y, por lo tanto, el acceso sin restricciones a los nombres de miles de trabajadores de la salud que usaban la plataforma Kaya. La versión de Android tenía un problema con el uso de credenciales API codificadas, lo que efectivamente permitía a los posibles delincuentes acceder a la información personal de los pacientes.

Afortunadamente, las fallas reportadas por The Citizen Labs han sido reparadas y las credenciales potencialmente explotables han sido deshabilitadas.

Este es solo otro ejemplo de un problema de seguridad de datos relacionado con la pandemia Covid-19, después de numerosas campañas de phishing, fraudes, cepas de malware y estafas móviles que de alguna manera estaban explotando la situación global.

November 17, 2020

Deja una respuesta