Студент обнаружил ошибку в защите приложения Covid

По адресу TPN/Lusa, in COVID-19, Технический персонал, Бизнес · 14-05-2021 01:00:00 · 0 Комментарии

Энрике Фариа, студент Политехнического института Виана-ду-Каштелу (IPVC), выявил недостаток в приложении "Stayaway Covid", который ставит под сомнение его эффективность.

В заметке, опубликованной на официальном сайте, IPVC объясняет, что "ошибка" была обнаружена в ходе расследования, проведенного Энрике Фариа в рамках его магистерской диссертации по кибербезопасности.

"На практике обнаруженная уязвимость, которая теперь идентифицируется как "рекламное переполнение", позволяет злоумышленнику прервать передачу данных GAEN (Google / Apple Exposure Notification) Bluetooth с помощью вредоносного приложения, установленного на том же устройстве."

Эта атака, объясняют ответственные за расследование, "компрометирует поведение отслеживания, ожидаемое в этом "приложении", не позволяя передавать данные".

"В реальном сценарии эта атака может, в зависимости от того, насколько широко она распространена между устройствами, эффективно остановить или значительно снизить отслеживание и эффективность GAEN, поскольку ни один из этих данных не будет передан", - говорится в записке IPVC.

Другими словами, добавляется в записке, "любой пользователь, подтвердивший, что он заражен, и отправляющий свои данные, чтобы другие пользователи могли проверить, подверглись ли они заражению, не вызовет никакого предупреждения о заражении". Реализация этой атаки в SDK, который используется многими приложениями, может поставить под угрозу эффективность системы отслеживания контактов в нескольких странах", - заявляют они.

Сбой "был зарегистрирован и позже признан Google и заслужил включение студента и двух консультантов факультета - Педро Пинто и Сары Пайва - в список "Почетных упоминаний" американской многонациональной компании по оказанию услуг в области Интернета и программного обеспечения.

Такие приложения, как "Stayaway Covid", "используют GAEN для обмена анонимными идентификаторами через Bluetooth, которые позже будут использованы для проверки возможности заражения. Если это происходит, пользователь получает на свое устройство уведомление о том, что он подвергся контакту с зараженным человеком".

Мобильное приложение, запущенное в сентябре 2020 года, позволяет быстро и анонимно отслеживать, посредством физической близости между "смартфонами", сети заражения covid-19, информируя пользователей о том, что в течение последних 14 дней они находились в одном пространстве с человеком, инфицированным новым коронавирусом.




Соответствующие статьи


Комментарии:

Прокомментируйте эту статью первыми
Интерактивные темы, присылайте нам свои комментарии/мнения по этой статье.

Пожалуйста, обратите внимание, что The Portugal News может использовать избранные комментарии в печатном издании газеты.