A „COVID Kaya” COVID-19 nyomkövető alkalmazás kiszivárogtatja az adatokat
A Covid-19 esetkövető platformként történő felhasználásra tervezett mobilalkalmazást, a „COVID Kaya” elnevezést bizonytalannak találták. A platformot orvosok és egészségügyi dolgozók használták a Fülöp-szigeteken folytatott aktív Covid-19 esetek nyomon követésére.
A kutatók sebezhetőségeket és biztonsági réseket fedeztek fel mind a mobilalkalmazásban, mind annak webes felületén. A hibák lehetővé tették, hogy a potenciális rossz szereplők hozzáférjenek az egészségügyi dolgozók személyes adataihoz. Ezenkívül a betegek adatait is ki lehetett volna tárni. A felfedezést a The Citizen Lab - a Torontói Egyetem biztonságközpontú részlege - kutatói tették meg.
A COVID Kaya platform 2020 nyarán indult, és célja az volt, hogy a Fülöp-szigeteki egészségügyi dolgozók azonnali hozzáférést kapjanak az aktív Covid-19 esetekről szóló kollektív adatokhoz, és ezeket az információkat összehangolják az ország egészségügyi minisztériumával. A COVID Kaya mind iOS, mind Android verzióval rendelkezett, valamint rendelkezik egy webes hozzáférési felülettel.
A mobilalkalmazások a Cordova - egy olyan fejlesztői környezet - segítségével továbbított kódra épültek, amely lehetővé teszi a web-központú alkalmazások exportálását mobil eszközökre.
A The Citizen Lab kutatói olyan sebezhetőségeket találtak az alkalmazás mindkét mobil verziójában, amelyek lehetővé tennék a potenciális rossz szereplők számára az olyan adatokhoz való hozzáférést, amelyekhez általában a felhasználó felhasználói bejelentkezési adatokra van szükség. Két biztonsági résről számoltak be a kutatók az Android és a webalapú platformokon, ezeket azóta a COVID Kaya fejlesztői csapata javította.
A webbiztonsági hiba lehetővé tette az illetéktelen hozzáférést az API végpontokhoz, és ezáltal korlátlan hozzáférést biztosított a Kaya platformot használó több ezer egészségügyi dolgozó nevéhez. Az Android-verzió problémája volt a hardveresen kódolt API-hitelesítő adatok használatával, ami lehetővé tette a potenciális rossz szereplők számára a betegek személyes adatainak elérését.
Szerencsére a The Citizen Labs által jelentett hibákat javították, és a potenciálisan kihasználható hitelesítő adatokat letiltották.
Ez csak egy újabb példa a Covid-19 járvánnyal összefüggő adatbiztonsági kérdésre, számos adathalász kampány, csalás, rosszindulatú programok és mobil csalások után, amelyek valahogyan kihasználták a globális helyzetet.