COVID-19 App di monitoraggio "COVID Kaya" perde dati
Un'app mobile progettata per fungere da piattaforma di tracciamento dei casi Covid-19, denominata "COVID Kaya", è risultata insicura. La piattaforma è stata utilizzata da medici e operatori sanitari per tenere traccia dei casi di Covid-19 attivi nelle Filippine.
I ricercatori hanno scoperto vulnerabilità e falle di sicurezza sia nell'applicazione mobile che nella sua interfaccia web. I difetti hanno consentito a potenziali cattivi attori di accedere alle informazioni personali degli operatori sanitari. Inoltre, potrebbero essere stati esposti anche i dati dei pazienti. La scoperta è stata fatta dai ricercatori del Citizen Lab, una divisione incentrata sulla sicurezza dell'Università di Toronto.
La piattaforma COVID Kaya è stata lanciata nell'estate del 2020 ed è stata progettata per consentire agli operatori sanitari nelle Filippine di avere accesso immediato ai dati collettivi sui casi di Covid-19 attivi e coordinare queste informazioni con il ministero della salute del paese. COVID Kaya aveva versioni iOS e Android, oltre a un'interfaccia per l'accesso web.
Le applicazioni mobili erano basate su codice trasferito utilizzando Cordova, un ambiente di sviluppo che consente l'esportazione di applicazioni incentrate sul Web su dispositivi mobili.
I ricercatori di The Citizen Lab hanno scoperto vulnerabilità in entrambe le versioni mobili dell'applicazione che consentirebbero a potenziali malintenzionati di accedere a dati che normalmente richiederebbero credenziali di accesso da superutente. Due vulnerabilità di sicurezza sono state segnalate dai ricercatori nelle piattaforme Android e basate sul web e da allora sono state corrette dal team di sviluppo di COVID Kaya.
La falla di sicurezza web consentiva l'accesso non autorizzato agli endpoint API e quindi l'accesso illimitato ai nomi di migliaia di operatori sanitari che utilizzavano la piattaforma Kaya. La versione Android aveva un problema con l'utilizzo di credenziali API hardcoded, che consentivano effettivamente a potenziali malintenzionati di accedere alle informazioni personali dei pazienti.
Per fortuna, i difetti segnalati da The Citizen Labs sono stati corretti e le credenziali potenzialmente sfruttabili sono state disabilitate.
Questo è solo un altro esempio di un problema di sicurezza dei dati connesso alla pandemia Covid-19, dopo numerose campagne di phishing, frodi, ceppi di malware e truffe mobili che in qualche modo stavano sfruttando la situazione globale.