Aplikacja do śledzenia COVID-19 „COVID Kaya” wycieka dane
Stwierdzono, że aplikacja mobilna zaprojektowana jako platforma do śledzenia przypadków Covid-19, o nazwie `` COVID Kaya '', nie jest bezpieczna. Platforma była używana przez lekarzy i pracowników służby zdrowia do śledzenia aktywnych przypadków Covid-19 na Filipinach.
Badacze odkryli luki i luki w zabezpieczeniach zarówno w aplikacji mobilnej, jak i w jej interfejsie internetowym. Wady pozwoliły potencjalnym złym aktorom uzyskać dostęp do danych osobowych pracowników służby zdrowia. Ponadto dane pacjentów również mogły zostać ujawnione. Odkrycia dokonali badacze z The Citizen Lab - wydziału zajmującego się bezpieczeństwem Uniwersytetu w Toronto.
Platforma COVID Kaya została uruchomiona latem 2020 roku i została zaprojektowana w celu umożliwienia pracownikom służby zdrowia na Filipinach bezpośredniego dostępu do zbiorczych danych o aktywnych przypadkach Covid-19 i koordynowania tych informacji z ministerstwem zdrowia tego kraju. COVID Kaya miał wersje na iOS i Androida, a także interfejs umożliwiający dostęp do sieci.
Aplikacje mobilne zostały oparte na kodzie przeniesionym za pomocą Cordova - środowiska programistycznego, które umożliwia eksport aplikacji internetowych na urządzenia mobilne.
Badacze z The Citizen Lab odkryli luki w obu mobilnych wersjach aplikacji, które umożliwiałyby potencjalnym złym aktorom dostęp do danych, które normalnie wymagałyby danych logowania superużytkownika. Badacze zgłosili dwie luki w zabezpieczeniach platformy Android i platformy internetowe i od tego czasu zostały one załatane przez zespół programistów COVID Kaya.
Luka w zabezpieczeniach sieci umożliwiła nieautoryzowany dostęp do punktów końcowych API, a co za tym idzie - nieograniczony dostęp do nazwisk tysięcy pracowników służby zdrowia korzystających z platformy Kaya. Wersja na Androida miała problem z używaniem zakodowanych na stałe danych uwierzytelniających API, co skutecznie umożliwiało potencjalnym złym aktorom dostęp do danych osobowych pacjentów.
Na szczęście błędy zgłoszone przez The Citizen Labs zostały załatane, a potencjalnie możliwe do wykorzystania dane uwierzytelniające zostały wyłączone.
To tylko kolejny przykład problemu bezpieczeństwa danych związanego z pandemią Covid-19, po licznych kampaniach phishingowych, oszustwach, odmianach złośliwego oprogramowania i oszustwach mobilnych, które w jakiś sposób wykorzystywały globalną sytuację.