Test dijital aşılama uygulamalarının kabaca üçte ikisi, bugün güvenli geçişler ve seyahat pasaportları olarak kullanıcıların gizliliğini riske sokabilecek davranışları sergilemektedir.
Bu uygulamalar dünya çapında büyük popülasyonlar için gerekli olduğu için riskler, bilgisayar korsanlarının kapsamlı bir hedef tabanına izin verdiği için önemlidir.
Dijital Pasaport Uygulamaları Bir kişinin COVID-19 aşılama durumunun, tam adı, kimlik numarasının, doğum tarihinin (PII) bir QR kodunda kodlanan veya doğrudan uygulamada görüntülenen diğer kişisel tanımlanabilir bilgilerin (PII) deposuna kanıtı.
Kullanıcılar, bu QR kodunu veya aşılama kanıtı, viral şanzıman için gerekli olan bölgelere girmek için gerektiğinde, seyahat için gerekli olan bölgelere girebilirler.
Bu uygulamaların ihraççıları genellikle hükümetlerin sağlık ve BT departmanlarıdır, geliştiriciler genellikle mobil yazılım geliştirme konusunda uzmanlaşmıştır.
Symantec'in ekibi 40 dijital aşı pasaportu uygulaması ve on doğrulama (tarayıcı) uygulamasına baktı ve 27'nin aşağıdaki gizlilik ve güvenlik risklerinden bazılarından muzdarip olduğunu buldu.
Symantec raporunda vurgulanan ilk problem türü, bu araçların çoğunun şifrelenmemiş ancak yalnızca kodlanmış olan QR kodları üretmesidir.
Kodlama, veri dönüşümünü, bu durumda, sağlık verilerinde, tarama ve işlem yapılması kolay bir dijital formata belirtmek için kullanılan bir terimdir.
Öte yandan, şifreleme verileri şifreleme algoritmaları kullanılarak okunabilen bir forma dönüştürür. Bu durumda, yalnızca yetkili varlıklar, verileri deşifre etmek ve okumak için anahtarı tutun.
Kodlamaya ve şifrelemeye dayanarak, bir kontrol noktasında bir QR tarayıcı uygulamasını kullanan herkes taranan verilerin kodunu çözebilir ve hassas kişisel bilgileri çıkarabilir.
Symantec'in ekibi tarafından keşfedilen bir diğer yaygın mesele, sağlık verilerinin, olguların% 38'inde bir HTTPS bağlantısı gerektirmeyen ve böylece kullanıcıların orta ataklara karşı savunmasız hale getirmesini sağlayan .
Üçüncü bir sorun, Riskli bir onay olan Android'deki harici depolama erişim izinleri ile ilgilidir, çünkü uygulamayı cihazın yerel dosyalarına koşulsuz erişimi sağlar. Bu, 40 uygulamanın 17'sinde veya toplamın% 43'ündeki bir sorun oldu.
Diğer güvenlik riskleri, sert kodlanmış bulut servis kimlik bilgileri ve SSL CA doğrulamasının yokluğu, tekrar kullanıcının hassas verilerini riske atar.
Dijital aşılama pasaportu uygulamasını kullanmak zorundaysanız, belirsiz satıcılardan üçüncü taraf cüzdanlardan kaçının ve Apple Health ve Google Cüzdan gibi, onları daha kuvvetli bir şekilde veteriner firmalardan mı tercih ediyorsunuz?
Kurulum sırasında, istenen izinlere dikkat edin ve riskli görünen veya uygulamanın temel işlevselliğine doğrudan alakalı olmayanları kabul etmekten kaçının. Uygulama meşru ise, kısmi izinlerle bile amacına hizmet vermeye devam etmelidir.
Pekin 2022 Kış Olimpiyatları App Gizlilik Riskleri ile Patlama
Cisco, Ukrayna'yı destekleyen güvenlik şirketlerinin uzun listesine katıldı
2021'de API'leri kötüye kullanan saldırılar% 600'den fazla büyüdü
Bu kurs paketi ile çevrimiçi gizlilik hukukunda hız kazanın
Android'deki görsel sesli posta gizlice dinlenmeye karşı savunmasız olabilir
Kaynak: Bleeping Computer