Ваш цифровой паспорт COVID-19 может представлять угрозу безопасности


Эксперты и Symantec обнаружили доказательства того, что популярные приложения для паспортов вакцин передают личную информацию без шифрования, наряду с другими рискованными действиями.

Изображение: Adobe Inventory/Ронстик

Цифровой паспорт вакцины от COVID-19 на вашем смартфоне может содержать больше информации, чем вы думаете, считают исследователи из Symantec.

Приложения для паспортов вакцин становятся все более распространенным явлением в мире, в котором мы сейчас живем не совсем после COVID-19. К сожалению, отсутствие чего-либо, даже связанного с регулированием, сделало мир цифровых паспортов невероятно небезопасным.

«Работодатели, рестораны и даже местные бары полагаются на эту систему, чтобы быть безопасной, точной и обеспечивать конфиденциальность пользователей. Человек, использующий паспорт, ожидает того же», — сказал исследователь Symantec Кевин Уоткинс. К сожалению, похоже, что это не так.

Почему приложения паспорта вакцины от COVID-19 не могут защитить данные

Symantec указала, что цифровые паспорта вакцин используют QR-код для обмена закодированными данными о здоровье с вышеупомянутыми предприятиями, которым может потребоваться подтверждение статуса вакцины клиента. Коды генерируются с использованием одного из двух стандартов: SMART Well being Card Framework и формата контейнера электронных медицинских сертификатов.

ВИДЕТЬ: Взлом пароля: почему поп-культура и пароли несовместимы (бесплатный PDF) (ТехРеспублика)

Оба стандарта делают что-то рискованное с данными, содержащимися в их QR-кодах: они кодируют их, но не шифруют. Это означает, что любой, у кого есть QR-код, предоставленный приложением паспорта COVID-19, может увидеть все данные, которые оно содержит.

«Как минимум, персональные данные, которые они содержат, включают имя человека, дату рождения и статус вакцины», — сказал Уоткинс. Однако это не самое худшее: Уоткинс сказал, что реальная проблема заключается в том, что все данные, предоставляемые через QR-код, содержат информацию, необходимую для начала работы над подделками приложений для паспортов и данных, которые они содержат.

В дополнение к невозможности защитить данные, закодированные с помощью QR-кода, 27 из 40 протестированных Symantec приложений для паспортов вакцин продемонстрировали рискованное поведение, обычно связанное с мобильными приложениями.

Полным 43% приложений для паспортов требовался доступ к внешнему хранилищу, 38% работали без HTTPS, пара приложений также отключила проверку SSL CA и передавала данные в незашифрованном виде, а одно даже содержало жестко закодированные учетные данные Amazon.

Паспорта против приложений для проверки: что еще более безопасно?

Symantec также обратила внимание на приложения для проверки паспортов, которые используются для проверки информации, представленной приложением паспорта потребительской вакцины.

Symantec рассмотрела несколько возможных недостатков безопасности в приложениях для проверки, например, небезопасно ли приложение обращалось к URL-адресам, как они передавали и хранили облачные данные и были ли они уязвимы для какого-либо поведения, обнаруженного в приложениях для паспортов.

«Мы искали те же самые ранее перечисленные рискованные действия в семи приложениях для проверки, доступных на момент написания этого отчета, и обнаружили, что все они безопасны», — сказал Уоткинс. Он также отметил, что Symantec намерена продолжить тестирование новых версий как паспортов, так и приложений для проверки, чтобы проверить, устраняются ли недостатки.

Как безопасно хранить цифровые данные о вакцинах

Уоткинс сказал, что это еще одно напоминание о необходимости опасаться приложений, которые утверждают, что защищают личную конфиденциальность и данные.

«Разрешайте приложениям только те личные данные, которые им требуются, и ничего больше. По возможности избегайте сторонних приложений, утверждающих, что они надежно хранят ваши записи о прививках, и вместо этого используйте решения для цифровых кошельков, предоставляемые основными мобильными платформами, такими как приложение Apple Well being и Google Pockets», — сказал Уоткинс.

ВИДЕТЬ: Google Chrome: советы по безопасности и пользовательскому интерфейсу, которые вам нужно знать (ТехРеспублика Премиум)

С точки зрения разработчиков, Уоткинс сказал, что они должны как можно быстрее внедрить лучшие практики в отношении безопасности данных.

«Защитите личные данные пользователей в облаке, при передаче и на устройстве. Все, что меньше, может поставить под угрозу конфиденциальность ваших пользователей, раскрыть личные медицинские данные и потенциально полностью подорвать легитимность их записей о прививках», — сказал Уоткинс.

https://cyberxhack.org/