Приложение для отслеживания COVID-19 'COVID Kaya' утекает данные
Мобильное приложение COVID Kaya, предназначенное для отслеживания случаев заболевания Covid-19, оказалось небезопасным. Платформа использовалась врачами и медицинскими работниками для отслеживания активных случаев Covid-19 на Филиппинах.
Исследователи обнаружили уязвимости и дыры в безопасности как в мобильном приложении, так и в его веб-интерфейсе. Недостатки позволили потенциальным злоумышленникам получить доступ к личной информации медицинских работников. Кроме того, данные пациентов тоже могли быть раскрыты. Открытие было сделано исследователями из Citizen Lab - подразделения Университета Торонто, занимающегося вопросами безопасности.
Платформа COVID Kaya была запущена летом 2020 года и была разработана, чтобы позволить медицинским работникам на Филиппинах иметь немедленный доступ к коллективным данным об активных случаях Covid-19 и координировать эту информацию с министерством здравоохранения страны. У COVID Kaya были версии для iOS и Android, а также интерфейс для доступа в Интернет.
Мобильные приложения были основаны на коде, перенесенном с использованием Cordova - среды разработки, которая позволяет экспортировать веб-приложения на мобильные устройства.
Исследователи из Citizen Lab обнаружили уязвимости в обеих мобильных версиях приложения, которые позволят потенциальным злоумышленникам получить доступ к данным, для которых обычно требуются учетные данные суперпользователя. Исследователи Android и веб-платформ сообщили о двух уязвимостях безопасности, которые с тех пор были исправлены командой разработчиков COVID Kaya.
Недостаток веб-безопасности позволял неавторизованный доступ к конечным точкам API и, следовательно, неограниченный доступ к именам тысяч медицинских работников, которые использовали платформу Kaya. В версии для Android возникла проблема с использованием жестко запрограммированных учетных данных API, что позволило потенциально злоумышленникам получить доступ к личной информации пациентов.
К счастью, недостатки , о которых сообщает Гражданин Labs были улажены и потенциально пригодные для использования учетных данных были отключены.
Это просто еще один пример проблемы безопасности данных, связанной с пандемией Covid-19, после многочисленных фишинговых кампаний, мошенничества, штаммов вредоносных программ и мобильных мошенников, которые каким-то образом использовали глобальную ситуацию.