Aplikacja do śledzenia COVID-19 „COVID Kaya” wycieka dane

Stwierdzono, że aplikacja mobilna zaprojektowana jako platforma do śledzenia przypadków Covid-19, o nazwie `` COVID Kaya '', nie jest bezpieczna. Platforma była używana przez lekarzy i pracowników służby zdrowia do śledzenia aktywnych przypadków Covid-19 na Filipinach.

Badacze odkryli luki i luki w zabezpieczeniach zarówno w aplikacji mobilnej, jak i w jej interfejsie internetowym. Wady pozwoliły potencjalnym złym aktorom uzyskać dostęp do danych osobowych pracowników służby zdrowia. Ponadto dane pacjentów również mogły zostać ujawnione. Odkrycia dokonali badacze z The Citizen Lab - wydziału zajmującego się bezpieczeństwem Uniwersytetu w Toronto.

Platforma COVID Kaya została uruchomiona latem 2020 roku i została zaprojektowana w celu umożliwienia pracownikom służby zdrowia na Filipinach bezpośredniego dostępu do zbiorczych danych o aktywnych przypadkach Covid-19 i koordynowania tych informacji z ministerstwem zdrowia tego kraju. COVID Kaya miał wersje na iOS i Androida, a także interfejs umożliwiający dostęp do sieci.

Aplikacje mobilne zostały oparte na kodzie przeniesionym za pomocą Cordova - środowiska programistycznego, które umożliwia eksport aplikacji internetowych na urządzenia mobilne.

Badacze z The Citizen Lab odkryli luki w obu mobilnych wersjach aplikacji, które umożliwiałyby potencjalnym złym aktorom dostęp do danych, które normalnie wymagałyby danych logowania superużytkownika. Badacze zgłosili dwie luki w zabezpieczeniach platformy Android i platformy internetowe i od tego czasu zostały one załatane przez zespół programistów COVID Kaya.

Luka w zabezpieczeniach sieci umożliwiła nieautoryzowany dostęp do punktów końcowych API, a co za tym idzie - nieograniczony dostęp do nazwisk tysięcy pracowników służby zdrowia korzystających z platformy Kaya. Wersja na Androida miała problem z używaniem zakodowanych na stałe danych uwierzytelniających API, co skutecznie umożliwiało potencjalnym złym aktorom dostęp do danych osobowych pacjentów.

Na szczęście błędy zgłoszone przez The Citizen Labs zostały załatane, a potencjalnie możliwe do wykorzystania dane uwierzytelniające zostały wyłączone.

To tylko kolejny przykład problemu bezpieczeństwa danych związanego z pandemią Covid-19, po licznych kampaniach phishingowych, oszustwach, odmianach złośliwego oprogramowania i oszustwach mobilnych, które w jakiś sposób wykorzystywały globalną sytuację.

November 17, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.