Lo stato di New York ha risolto un problema con Excelsior Pass Wallet che consente agli utenti di acquisire e archiviare le credenziali del vaccino COVID-19.
Il problema, scoperto dai ricercatori del gruppo NCC, consente a qualcuno “di creare e archiviare credenziali di vaccino false nel proprio portafoglio NYS Excelsior Pass che potrebbero consentire loro di accedere a spazi fisici (come aziende e sedi di eventi) dove avrebbero non essere ammessi senza una credenziale vaccinale, anche quando non hanno ricevuto un vaccino COVID-19”.
I ricercatori hanno scoperto che l'applicazione non convalidava le credenziali del vaccino aggiunte, consentendo agli utenti di archiviare credenziali contraffatte.
Lo Stato di New York è stato informato del problema il 30 aprile, ma ha passato mesi a ignorare i messaggi del gruppo NCC. È stato solo fino a quando i ricercatori hanno contattato il centro di comando ITS Cyber di New York a luglio che hanno ricevuto una risposta dallo stato in merito al problema.
Una patch che risolve il problema è stata rilasciata il 20 agosto. I funzionari dello Stato di New York non l'hanno fatto rispondere alle richieste di commento da ZDNet.
Siddarth Adukia, direttore tecnico di NCC Group, ha dichiarato a ZDNet che l'ampia diffusione delle domande di passaporto per le credenziali dei vaccini e le loro implicazioni intrinseche sulla sicurezza e sulla privacy le rendono un'area di interesse naturale per la ricerca sulla sicurezza.
“In NCC Group, abbiamo esaminato alcune di queste app di recente. Volevamo valutare fino a che punto un utente (o un luogo) dovrebbe fidarsi di questi sistemi e come la privacy di qualcuno l'utilizzo di tali sistemi ne risentirebbe”, ha affermato Adukia.
“Abbiamo iniziato con le applicazioni NYS Excelsior Pass in quanto sono state tra le prime a essere implementate negli Stati Uniti e abbiamo avuto consulenti che vivono nello Stato di New York, me compreso, che erano personalmente incaricati di garantire la sicurezza e la privacy del sistema. Abbiamo riscontrato il problema dopo aver modellato le minacce possibili vettori di attacco e abuso contro l'applicazione e il sistema in generale.”
Adukia ha affermato che il suo team ha decodificato l'applicazione mobile e intercettato il traffico di rete, consentendo loro di esaminare l'applicazione per possibili problemi come perdita di informazioni, crittografia debole e altri problemi comuni di sicurezza delle applicazioni.
Adukia ha spiegato che l'applicazione consente agli utenti di scansionare un codice QR per aggiungere una credenziale al portafoglio o aggiungerne una tramite la galleria fotografica del dispositivo.
“Il problema riscontrato consentiva l'archiviazione di credenziali false nel portafoglio. Entrambi i vettori consentivano anche – agli utenti tecnici di scansionare una credenziale falsa (creata da loro stessi o tramite un sito Web) e memorizzarla come credenziale di vaccino digitale nell'applicazione NYS Excelsior Wallet”, ha aggiunto Adukia.
“Gli utenti potrebbero quindi presentare le credenziali tramite l'app ufficiale alle sedi e tentare di ottenere l'accesso fisico. Molte sedi non utilizzano l'app dello scanner o ignorano i risultati della verifica e si fidano dei dati apparentemente legittimi sul dispositivo di un utente, consentendo il bypass del controllo delle credenziali.”
La versione corrente dell'app disponibile nei negozi non è soggetta a questo problema, ha osservato Adukia, ma gli utenti che potrebbero non aver aggiornato all'ultima versione dell'app possono comunque caricare un vaccino contraffatto credenziali oggi.
In una consulenza tecnica di NCC Group, i ricercatori hanno incluso schermate di credenziali contraffatte che possono essere scansionate dall'app Wallet e aggiunte come pass legittimo.
Uno screenshot delle credenziali false.
NCC Group
Adukia ha affermato che i ricercatori del gruppo NCC stanno attualmente analizzando e discutendo problemi in altre app COVID-19 gestite dallo stato e prevedono di seguire i processi di divulgazione di routine con qualsiasi fornitore.
Milioni di persone hanno trovato il modo di acquisire carte di vaccino false o altre verifiche che consentono loro di fingere di aver ricevuto uno dei tanti vaccini COVID-19 gratuiti disponibili negli Stati Uniti.
Una varietà di verifiche sui vaccini COVID-19 viene venduta a prezzi sempre più bassi sul dark web, secondo un rapporto di agosto di Check Point Research. I ricercatori hanno scoperto che i prezzi per i certificati digitali COVID dell'UE e le tessere per i vaccini COVID CDC e NHS erano scesi fino a $ 100.
Lo studio di Check Point Research ha trovato gruppi che pubblicizzano le verifiche dei vaccini falsi in gruppi con più di 450.000 persone. A marzo, un precedente rapporto della società ha rilevato che il prezzo per i passaporti dei vaccini falsi era di circa $ 250 sul dark web e che gli annunci pubblicitari per le truffe stavano raggiungendo nuovi livelli.
I ricercatori ora possono trovare certificati falsi venduti da gruppi e persone negli Stati Uniti, Regno Unito, Germania, Grecia, Paesi Bassi, Italia, Francia, Svizzera, Pakistan e Indonesia.
Il picco della domanda di passaporti e tessere vaccinali falsi arriva quando centinaia di aziende stanno costringendo dipendenti e clienti a mostrare prove della vaccinazione COVID-19 prima di entrare in uffici o aziende.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Cyber security 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Data Management Security TV CXO Data Center 