COVID-19追跡アプリ「COVIDカヤ」リークデータ

「COVIDカヤ」という名前のCovid-19症例追跡プラットフォームとして機能するように設計されたモバイルアプリは、安全でないことが判明しました。このプラットフォームは、フィリピンでのアクティブなCovid-19症例を追跡するために、医師や医療従事者によって使用されました。

研究者は、モバイルアプリケーションとそのWebインターフェイスの両方に脆弱性とセキュリティホールを発見しました。この欠陥により、潜在的な悪意のある人物が医療従事者の個人情報にアクセスできるようになりました。さらに、患者データも公開されている可能性があります。この発見は、トロント大学のセキュリティに焦点を当てた部門であるシチズンラボの研究者によって行われました。

COVID Kayaプラットフォームは、2020年の夏に発売され、フィリピンの医療従事者がアクティブなCovid-19症例に関する収集データに即座にアクセスし、この情報を国の保健省と調整できるように設計されました。 COVID Kayaには、iOSバージョンとAndroidバージョンの両方、およびWebアクセス用のインターフェースがありました。

モバイルアプリケーションは、Cordovaを使用して移植されたコードに基づいていました。これは、Webに焦点を合わせたアプリケーションをモバイルデバイスにエクスポートできる開発環境です。

シチズンラボの研究者は、アプリケーションの両方のモバイルバージョンに脆弱性を発見しました。これにより、潜在的な悪意のある人物が、通常はスーパーユーザーのログイン資格情報を必要とするデータにアクセスできるようになります。 AndroidおよびWebベースのプラットフォームの研究者によって2つのセキュリティの脆弱性が報告され、その後COVIDKaya開発チームによってパッチが適用されました。

Webセキュリティの欠陥により、APIエンドポイントへの不正アクセスが許可されたため、Kayaプラットフォームを使用していた何千人もの医療従事者の名前に無制限にアクセスできました。 Androidバージョンには、ハードコードされたAPI資格情報の使用に問題があり、潜在的な悪意のある人物が患者の個人情報に効果的にアクセスできるようになりました。

ありがたいことに、シチズンラボによって報告された欠陥にパッチが適用され、 悪用される可能性のある資格情報が無効になっています。

これは、Covid-19のパンデミックに関連するデータセキュリティ問題の単なる別の例です。これは、世界的な状況を何らかの形で悪用した多数のフィッシングキャンペーン、詐欺、マルウェア株、モバイル詐欺の後のものです。

November 17, 2020

返信を残す