COVID-19 Tracking-App 'COVID Kaya' verliert Daten
Eine mobile App mit dem Namen "COVID Kaya", die als Covid-19-Plattform für die Fallverfolgung konzipiert wurde, wurde als unsicher eingestuft. Die Plattform wurde von Ärzten und Mitarbeitern des Gesundheitswesens genutzt, um aktive Covid-19-Fälle auf den Philippinen zu verfolgen.
Die Forscher entdeckten Schwachstellen und Sicherheitslücken sowohl in der mobilen Anwendung als auch in der Weboberfläche. Die Mängel ermöglichten es potenziellen schlechten Akteuren, Zugang zu den persönlichen Informationen von Gesundheitspersonal zu erhalten. Darüber hinaus könnten auch Patientendaten offengelegt worden sein. Die Entdeckung wurde von Forschern des Citizen Lab gemacht - einer sicherheitsorientierten Abteilung der University of Toronto.
Die COVID Kaya-Plattform wurde im Sommer 2020 gestartet und soll es Gesundheitspersonal auf den Philippinen ermöglichen, sofort auf kollektive Daten über aktive Covid-19-Fälle zuzugreifen und diese Informationen mit dem Gesundheitsministerium des Landes zu koordinieren. COVID Kaya hatte sowohl iOS- als auch Android-Versionen sowie eine Schnittstelle für den Webzugriff.
Die mobilen Anwendungen basierten auf Code, der mit Cordova portiert wurde - einer Entwicklungsumgebung, die den Export von webbezogenen Anwendungen auf mobile Geräte ermöglicht.
Die Forscher von The Citizen Lab fanden Schwachstellen in beiden mobilen Versionen der Anwendung, die es potenziellen schlechten Akteuren ermöglichen würden, auf Daten zuzugreifen, für die normalerweise Anmeldeinformationen für Superuser erforderlich sind. Zwei Sicherheitslücken wurden von den Forschern auf den Android- und webbasierten Plattformen gemeldet und seitdem vom COVID Kaya-Entwicklungsteam behoben.
Die Web-Sicherheitslücke ermöglichte den unbefugten Zugriff auf API-Endpunkte und damit den uneingeschränkten Zugriff auf die Namen von Tausenden von Gesundheitspersonal, die die Kaya-Plattform verwendeten. Die Android-Version hatte ein Problem mit der Verwendung fest codierter API-Anmeldeinformationen, wodurch potenzielle schlechte Akteure effektiv auf persönliche Informationen von Patienten zugreifen konnten.
Zum Glück wurden die von The Citizen Labs gemeldeten Fehler behoben und die potenziell ausnutzbaren Anmeldeinformationen wurden deaktiviert.
Dies ist nur ein weiteres Beispiel für ein Datensicherheitsproblem im Zusammenhang mit der Covid-19-Pandemie nach zahlreichen Phishing-Kampagnen, Betrug, Malware-Belastungen und mobilen Betrügereien, die die globale Situation irgendwie ausnutzten.