New York-staten har åtgärdat ett problem med Excelsior Pass Wallet som gör det möjligt för användare att skaffa och lagra COVID-19-vaccinuppgifter.
Frågan – upptäckt av forskare vid NCC -gruppen – tillåter någon “att skapa och lagra falska vaccinationsuppgifter i deras NYS Excelsior Pass Wallet som kan tillåta dem att få tillgång till fysiska utrymmen (som företag och evenemangsställen) där de skulle inte tillåtna utan ett vaccinationsuppgifter, även om de inte har fått ett COVID-19-vaccin. ”
Forskarna fann att applikationen inte validerade vaccinuppgifter som lagts till i den, så att förfalskade referenser kunde lagras av användare.
New York State meddelades om frågan den 30 april men spenderade månader på att ignorera meddelanden från NCC Group. Det var först tills forskarna kontaktade NYS ITS Cyber Command Center i juli som de fick ett svar från staten om problemet.
En patch som löste problemet släpptes den 20 augusti. Statens tjänstemän i New York gjorde inte svara på förfrågningar om kommentar från ZDNet.
Siddarth Adukia, teknisk chef på NCC Group, berättade för ZDNet att den omfattande utbyggnaden av ansökningar om vaccinationsuppgifter och deras inneboende säkerhets- och integritetsimplikationer gör dem till ett naturligt intresseområde för säkerhetsforskning.
“På NCC Group har vi nyligen tittat på ett antal av dessa appar. Vi ville mäta i vilken utsträckning en användare (eller plats) ska lita på dessa system och hur integriteten för någon att använda sådana system skulle påverkas, säger Adukia.
“Vi började med NYS Excelsior Pass -applikationer eftersom de var en av de första som rullade ut i USA, och vi hade konsulter som bor i staten New York, inklusive mig själv, som personligen tilläts säkerställa systemets säkerhet och integritet. Vi hittade problemet efter hotmodellering av möjliga attack- och övergreppsvektorer mot applikationen och systemet i allmänhet. ”
Adukia sa att hans team omkonstruerade mobilapplikationen och fångade upp nätverkstrafik, så att de kunde undersöka applikationen för eventuella problem som informationsläckage, svag kryptografi och andra vanliga applikationssäkerhetsproblem.
Adukia förklarade att applikationen tillåter användare att skanna en QR -kod för att lägga till en legitimation i plånboken eller lägga till en via enhetens fotogalleri.
“Problemet vi hittade gjorde att falska referenser kunde lagras i plånboken. Båda vektorerna tillät även icke -tekniska användare att skanna en falsk legitimation (skapad av dem själva eller via en webbplats) och lagra den som ett digitalt vaccinationsuppgifter i NYS Excelsior Wallet -applikationen, tillade Adukia.
“Användare kan sedan presentera inloggningsuppgifterna via den officiella appen till arenor och försöka få fysisk åtkomst. Många platser använder inte skannerappen eller ignorerar verifieringsresultaten och litar på den till synes legitima informationen på en användares enhet, vilket tillåter bypass av legitimationskontroll. “
Den nuvarande versionen av appen som finns i butiker är inte mottaglig för detta problem, noterade Adukia, men användare som kanske inte har uppdaterat till den senaste versionen av appen kan fortfarande ladda upp förfalskat vaccin legitimation idag.
I en teknisk rådgivning från NCC Group inkluderade forskare skärmdumpar av förfalskade referenser som kan skannas av Wallet -appen och läggas till som ett legitimt pass.
En skärmdump av de falska referenserna.
NCC Group
Adukia sa att NCC-gruppens forskare för närvarande analyserar och diskuterar frågor i andra statliga COVID-19-appar och planerar att följa de rutinmässiga avslöjningsprocesserna med eventuella leverantörer.
Miljontals människor har hittat sätt att skaffa falska vaccinkort eller andra verifieringar så att de kan låtsas att de fått ett av de många gratis COVID-19-vaccinerna som finns i USA.
En mängd olika COVID-19-vaccinverifieringar säljs till alltmer låga priser på den mörka webben, enligt en rapport i augusti från Check Point Research. Forskare fann att priserna på EU -digitala COVID -certifikat samt CDC- och NHS COVID -vaccinkort hade sjunkit så lågt som $ 100.
Check Point Researchs studie fann grupper som annonserade falska vaccinverifieringar i grupper med mer än 450 000 personer. I mars fann en tidigare rapport från företaget att priset för falska vaccinpass låg på cirka 250 dollar på den mörka webben och att annonserna för bedrägerierna nådde nya nivåer.
Forskarna kan nu hitta falska certifikat som säljs från grupper och personer i USA, Storbritannien, Tyskland, Grekland, Nederländerna, Italien, Frankrike, Schweiz, Pakistan och Indonesien.
Ökningen i efterfrågan på falska vaccinpass och kort kommer när hundratals företag tvingar anställda och kunder att visa bevis på COVID-19-vaccination innan de kommer till kontor eller företag.
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker att bli värre? (ZDNet YouTube)
Relaterade ämnen:
Datahantering Säkerhet TV CXO Datacenter