Приложение для отслеживания COVID-19 'COVID Kaya' утекает данные

Мобильное приложение COVID Kaya, предназначенное для отслеживания случаев заболевания Covid-19, оказалось небезопасным. Платформа использовалась врачами и медицинскими работниками для отслеживания активных случаев Covid-19 на Филиппинах.

Исследователи обнаружили уязвимости и дыры в безопасности как в мобильном приложении, так и в его веб-интерфейсе. Недостатки позволили потенциальным злоумышленникам получить доступ к личной информации медицинских работников. Кроме того, данные пациентов тоже могли быть раскрыты. Открытие было сделано исследователями из Citizen Lab - подразделения Университета Торонто, занимающегося вопросами безопасности.

Платформа COVID Kaya была запущена летом 2020 года и была разработана, чтобы позволить медицинским работникам на Филиппинах иметь немедленный доступ к коллективным данным об активных случаях Covid-19 и координировать эту информацию с министерством здравоохранения страны. У COVID Kaya были версии для iOS и Android, а также интерфейс для доступа в Интернет.

Мобильные приложения были основаны на коде, перенесенном с использованием Cordova - среды разработки, которая позволяет экспортировать веб-приложения на мобильные устройства.

Исследователи из Citizen Lab обнаружили уязвимости в обеих мобильных версиях приложения, которые позволят потенциальным злоумышленникам получить доступ к данным, для которых обычно требуются учетные данные суперпользователя. Исследователи Android и веб-платформ сообщили о двух уязвимостях безопасности, которые с тех пор были исправлены командой разработчиков COVID Kaya.

Недостаток веб-безопасности позволял неавторизованный доступ к конечным точкам API и, следовательно, неограниченный доступ к именам тысяч медицинских работников, которые использовали платформу Kaya. В версии для Android возникла проблема с использованием жестко запрограммированных учетных данных API, что позволило потенциально злоумышленникам получить доступ к личной информации пациентов.

К счастью, недостатки , о которых сообщает Гражданин Labs были улажены и потенциально пригодные для использования учетных данных были отключены.

Это просто еще один пример проблемы безопасности данных, связанной с пандемией Covid-19, после многочисленных фишинговых кампаний, мошенничества, штаммов вредоносных программ и мобильных мошенников, которые каким-то образом использовали глобальную ситуацию.

November 17, 2020
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.