A „COVID Kaya” COVID-19 nyomkövető alkalmazás kiszivárogtatja az adatokat

A Covid-19 esetkövető platformként történő felhasználásra tervezett mobilalkalmazást, a „COVID Kaya” elnevezést bizonytalannak találták. A platformot orvosok és egészségügyi dolgozók használták a Fülöp-szigeteken folytatott aktív Covid-19 esetek nyomon követésére.

A kutatók sebezhetőségeket és biztonsági réseket fedeztek fel mind a mobilalkalmazásban, mind annak webes felületén. A hibák lehetővé tették, hogy a potenciális rossz szereplők hozzáférjenek az egészségügyi dolgozók személyes adataihoz. Ezenkívül a betegek adatait is ki lehetett volna tárni. A felfedezést a The Citizen Lab - a Torontói Egyetem biztonságközpontú részlege - kutatói tették meg.

A COVID Kaya platform 2020 nyarán indult, és célja az volt, hogy a Fülöp-szigeteki egészségügyi dolgozók azonnali hozzáférést kapjanak az aktív Covid-19 esetekről szóló kollektív adatokhoz, és ezeket az információkat összehangolják az ország egészségügyi minisztériumával. A COVID Kaya mind iOS, mind Android verzióval rendelkezett, valamint rendelkezik egy webes hozzáférési felülettel.

A mobilalkalmazások a Cordova - egy olyan fejlesztői környezet - segítségével továbbított kódra épültek, amely lehetővé teszi a web-központú alkalmazások exportálását mobil eszközökre.

A The Citizen Lab kutatói olyan sebezhetőségeket találtak az alkalmazás mindkét mobil verziójában, amelyek lehetővé tennék a potenciális rossz szereplők számára az olyan adatokhoz való hozzáférést, amelyekhez általában a felhasználó felhasználói bejelentkezési adatokra van szükség. Két biztonsági résről számoltak be a kutatók az Android és a webalapú platformokon, ezeket azóta a COVID Kaya fejlesztői csapata javította.

A webbiztonsági hiba lehetővé tette az illetéktelen hozzáférést az API végpontokhoz, és ezáltal korlátlan hozzáférést biztosított a Kaya platformot használó több ezer egészségügyi dolgozó nevéhez. Az Android-verzió problémája volt a hardveresen kódolt API-hitelesítő adatok használatával, ami lehetővé tette a potenciális rossz szereplők számára a betegek személyes adatainak elérését.

Szerencsére a The Citizen Labs által jelentett hibákat javították, és a potenciálisan kihasználható hitelesítő adatokat letiltották.

Ez csak egy újabb példa a Covid-19 járvánnyal összefüggő adatbiztonsági kérdésre, számos adathalász kampány, csalás, rosszindulatú programok és mobil csalások után, amelyek valahogyan kihasználták a globális helyzetet.

November 17, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.