L'application de suivi COVID-19 'COVID Kaya' fuit des données

Une application mobile conçue pour servir de plate-forme de suivi des cas Covid-19, nommée `` COVID Kaya '', s'est avérée non sécurisée. La plate-forme a été utilisée par les médecins et les travailleurs de la santé pour suivre les cas actifs de Covid-19 aux Philippines.

Les chercheurs ont découvert des vulnérabilités et des failles de sécurité dans l'application mobile ainsi que dans son interface Web. Les failles ont permis aux mauvais acteurs potentiels d'accéder aux informations personnelles des agents de santé. De plus, les données des patients auraient également pu être exposées. La découverte a été faite par des chercheurs du Citizen Lab, une division axée sur la sécurité de l'Université de Toronto.

La plate-forme COVID Kaya a été lancée à l'été 2020 et a été conçue pour permettre aux agents de santé des Philippines d'avoir un accès immédiat aux données collectives sur les cas actifs de Covid-19 et de coordonner ces informations avec le ministère de la Santé du pays. COVID Kaya avait des versions iOS et Android, ainsi qu'une interface pour l'accès Web.

Les applications mobiles étaient basées sur du code porté à l'aide de Cordova - un environnement de développement qui permet l'exportation d'applications Web vers des appareils mobiles.

Les chercheurs du Citizen Lab ont découvert des vulnérabilités dans les deux versions mobiles de l'application qui permettraient à des acteurs potentiels malveillants d'accéder à des données qui nécessiteraient normalement des informations de connexion de superutilisateur. Deux vulnérabilités de sécurité ont été signalées par les chercheurs sur les plates-formes Android et Web et ont depuis été corrigées par l'équipe de développement COVID Kaya.

La faille de sécurité Web permettait un accès non autorisé aux points de terminaison de l'API et donc un accès illimité aux noms de milliers d'agents de santé qui utilisaient la plate-forme Kaya. La version Android avait un problème avec l'utilisation des informations d'identification API codées en dur, ce qui permettait effectivement aux acteurs potentiels malveillants d'accéder aux informations personnelles des patients.

Heureusement, les failles signalées par The Citizen Labs ont été corrigées et les informations d'identification potentiellement exploitables ont été désactivées.

Ceci n'est qu'un autre exemple d'un problème de sécurité des données lié à la pandémie de Covid-19, après de nombreuses campagnes de phishing, des fraudes, des souches de logiciels malveillants et des escroqueries mobiles qui exploitaient en quelque sorte la situation mondiale.

November 17, 2020

Laisser une Réponse