Chytré karantény a aplikace pro trasování kontaktů přináší i bezpečnostní rizika

chytra karantena

Výzkumný tým společnosti Check Point upozorňuje na rizika spojená s aplikacemi pro trasování kontaktů, které používají vlády v rámci „chytré karantény“ pro sledování šíření koronavirové nákazy. Mezi možná rizika patří sledování zařízení, únik osobních údajů, zachycení provozu aplikací a falešné zdravotnické reporty.

  • GPS může prozradit citlivé informace a odhalit cesty a polohy uživatelů za několik posledních dnů nebo týdnů
  • BLE (Bluetooth Low Energy) lze použít k trasování zařízení
  • V zájmu zachování anonymity uživatele by s aplikací neměly být nikdy spojeny žádné osobní identifikátory (telefonní číslo, jméno, ID atd.)

Kyberbezpečnostní tým postupně analyzuje aplikace pro trasování kontaktů v řadě evropských i mimoevropských zemí. Po úvodním prozkoumání vyjádřili bezpečnostní experti řadu obav. Výzkumný tým zmínil 4 problematické oblasti:

1. Zařízení lze sledovat. Protože některé aplikace pro trasování kontaktů spoléhají na BLE (Bluetooth Low Energy), zařízení vysílají handshake pakety, které usnadňují identifikaci kontaktu s jinými zařízeními. Pokud vše není implementováno správně, mohou hackeři sledovat zařízení pomocí kontaktu mezi zařízeními a příslušných identifikačních paketů.
2. Ohrožení osobních údajů. Některé aplikace ukládají informace o kontaktu s jinými uživateli, šifrovací klíče a další citlivá data do zařízení. Citlivá data by měla být šifrována a uložena v sandboxu a ne na sdílených místech. Dokonce i v sandboxu by v případě získání root oprávnění nebo fyzického přístupu k zařízení mohla být data ohrožena, a to zejména v případě, že jsou uloženy takové citlivé informace, jako je GPS poloha.
3. Zachycení provozu aplikace. Pokud veškerá komunikace aplikace se serverem není řádně šifrována, mohou uživatelé čelit „man-in-the-middle“ útokům a může dojít k zachycení provozu aplikace.
4. Riziko falešných zdravotnických reportů. Výzkumný tým upozorňuje, že je důležité, aby aplikace požadovaly ověření, pokud zasílají informace na servery, například když uživatel poskytuje svou diagnózu a informace o kontaktu s jinými uživateli. Bez řádného ověření existuje možnost zahltit servery falešnými zdravotními reporty, což by ohrozilo spolehlivost celého systému.

Napsat komentář