A „COVID Kaya” COVID-19 nyomkövető alkalmazás kiszivárogtatja az adatokat

A Covid-19 esetkövető platformként történő felhasználásra tervezett mobilalkalmazást, a „COVID Kaya” elnevezést bizonytalannak találták. A platformot orvosok és egészségügyi dolgozók használták a Fülöp-szigeteken folytatott aktív Covid-19 esetek nyomon követésére.

A kutatók sebezhetőségeket és biztonsági réseket fedeztek fel mind a mobilalkalmazásban, mind annak webes felületén. A hibák lehetővé tették, hogy a potenciális rossz szereplők hozzáférjenek az egészségügyi dolgozók személyes adataihoz. Ezenkívül a betegek adatait is ki lehetett volna tárni. A felfedezést a The Citizen Lab - a Torontói Egyetem biztonságközpontú részlege - kutatói tették meg.

A COVID Kaya platform 2020 nyarán indult, és célja az volt, hogy a Fülöp-szigeteki egészségügyi dolgozók azonnali hozzáférést kapjanak az aktív Covid-19 esetekről szóló kollektív adatokhoz, és ezeket az információkat összehangolják az ország egészségügyi minisztériumával. A COVID Kaya mind iOS, mind Android verzióval rendelkezett, valamint rendelkezik egy webes hozzáférési felülettel.

A mobilalkalmazások a Cordova - egy olyan fejlesztői környezet - segítségével továbbított kódra épültek, amely lehetővé teszi a web-központú alkalmazások exportálását mobil eszközökre.

A The Citizen Lab kutatói olyan sebezhetőségeket találtak az alkalmazás mindkét mobil verziójában, amelyek lehetővé tennék a potenciális rossz szereplők számára az olyan adatokhoz való hozzáférést, amelyekhez általában a felhasználó felhasználói bejelentkezési adatokra van szükség. Két biztonsági résről számoltak be a kutatók az Android és a webalapú platformokon, ezeket azóta a COVID Kaya fejlesztői csapata javította.

A webbiztonsági hiba lehetővé tette az illetéktelen hozzáférést az API végpontokhoz, és ezáltal korlátlan hozzáférést biztosított a Kaya platformot használó több ezer egészségügyi dolgozó nevéhez. Az Android-verzió problémája volt a hardveresen kódolt API-hitelesítő adatok használatával, ami lehetővé tette a potenciális rossz szereplők számára a betegek személyes adatainak elérését.

Szerencsére a The Citizen Labs által jelentett hibákat javították, és a potenciálisan kihasználható hitelesítő adatokat letiltották.

Ez csak egy újabb példa a Covid-19 járvánnyal összefüggő adatbiztonsági kérdésre, számos adathalász kampány, csalás, rosszindulatú programok és mobil csalások után, amelyek valahogyan kihasználták a globális helyzetet.

November 17, 2020

Válaszolj