COVID-19跟踪应用程序“ COVID Kaya”泄漏数据

发现一个名为CoVID Kaya的旨在用作Covid-19案件跟踪平台的移动应用程序不安全。医生和医护人员使用该平台来跟踪菲律宾活跃的Covid-19病例。

研究人员在移动应用程序及其Web界面中发现了漏洞和安全漏洞。这些缺陷使潜在的不良行为者可以访问卫生工作者的个人信息。此外,患者数据也可能已经公开。这项发现是由“公民实验室”(The Citizen Lab)的研究人员完成的,该实验室是多伦多大学的安全重点部门。

COVID Kaya平台于2020年夏季启动,旨在使菲律宾的卫生工作者能够立即访问有关活跃的Covid-19病例的集体数据,并与该国卫生部协调该信息。 COVID Kaya同时具有iOS和Android版本,以及用于Web访问的界面。

移动应用程序基于使用Cordova移植的代码,Cordova是一种开发环境,可以将基于Web的应用程序导出到移动设备。

The Citizen Lab的研究人员在应用程序的两个移动版本中发现了漏洞,这些漏洞使潜在的不良行为者可以访问通常需要超级用户登录凭据的数据。研究人员在Android和基于Web的平台上报告了两个安全漏洞,此漏洞已由COVID Kaya开发团队修补。

Web安全漏洞允许未经授权访问API端点,因此-无限制地访问使用Kaya平台的数千名卫生工作者的姓名。 Android版本在使用硬编码API凭据时存在问题,有效地允许潜在的不良行为者访问患者的个人信息。

值得庆幸的是,The Citizen Labs报告的漏洞已得到修复,并且潜在的可利用凭据已被禁用。

这只是与Covid-19大流行相关的数据安全问题的另一个例子,在无数次利用全球形势进行的网络钓鱼活动,欺诈,恶意软件病毒和移动骗局之后。

November 17, 2020

发表评论