De staat New York heeft een probleem opgelost met de Excelsior Pass-portemonnee waarmee gebruikers COVID-19-vaccinreferenties kunnen verkrijgen en opslaan.
Het probleem – ontdekt door onderzoekers van de NCC Group – stelt iemand in staat “valse vaccinreferenties aan te maken en op te slaan in hun NYS Excelsior Pass-portemonnee waarmee ze toegang kunnen krijgen tot fysieke ruimtes (zoals bedrijven en evenementenlocaties) waar ze niet worden toegestaan zonder een vaccinreferentie, zelfs als ze geen COVID-19-vaccin hebben gekregen.”
De onderzoekers ontdekten dat de applicatie de toegevoegde vaccinreferenties niet valideerde, waardoor valse referenties door gebruikers konden worden opgeslagen.
De staat New York werd op 30 april op de hoogte gebracht van de kwestie, maar negeerde maandenlang berichten van de NCC Group. Pas toen de onderzoekers in juli contact opnamen met het NYS ITS Cyber-commandocentrum, kregen ze een reactie van de staat over het probleem.
Op 20 augustus werd een patch uitgebracht om het probleem op te lossen. Ambtenaren van de staat New York hebben dat niet gedaan. reageren op verzoeken om commentaar van ZDNet.
Siddarth Adukia, technisch directeur bij NCC Group, vertelde ZDNet dat de wijdverbreide uitrol van paspoortaanvragen voor vaccinreferenties en hun inherente beveiligings- en privacyimplicaties ze een natuurlijk interessegebied maken voor beveiligingsonderzoek.
“Bij NCC Group hebben we onlangs een aantal van deze apps onderzocht. We wilden meten in hoeverre een gebruiker (of locatie) deze systemen zou moeten vertrouwen en hoe de privacy van iemand het gebruik van dergelijke systemen zou worden beïnvloed,” zei Adukia.
“We zijn begonnen met de NYS Excelsior Pass-applicaties omdat ze een van de eersten waren die in de VS werden uitgerold, en we hadden consultants die in de staat New York wonen, waaronder ikzelf, die persoonlijk belast waren met het waarborgen van de veiligheid en privacy van het systeem. We hebben het probleem gevonden na het modelleren van mogelijke aanvals- en misbruikvectoren tegen de applicatie en het systeem in het algemeen.”
Adukia zei dat zijn team de mobiele applicatie reverse-engineerde en het netwerkverkeer onderschepte, waardoor ze de applicatie konden onderzoeken op mogelijke problemen zoals informatielekken, zwakke cryptografie en andere veelvoorkomende problemen met de applicatiebeveiliging.
Adukia legde uit dat de applicatie stelt gebruikers in staat een QR-code te scannen om een referentie aan de portemonnee toe te voegen of er een toe te voegen via de fotogalerij van het apparaat.
“Het probleem dat we hebben gevonden, stond toe dat valse inloggegevens in de portemonnee werden opgeslagen. Beide vectoren toegestaan zelfs niet -technische gebruikers om een nep-referentie (door henzelf of via een website gemaakt) te scannen en deze op te slaan als een digitale vaccin-referentie in de NYS Excelsior Wallet-applicatie, “voegde Adukia eraan toe.
“Gebruikers kunnen de inloggegevens vervolgens via de officiële app aan locaties presenteren en proberen fysieke toegang te krijgen. Veel locaties gebruiken de scanner-app niet of negeren de verificatieresultaten en vertrouwen de schijnbaar legitieme gegevens op het apparaat van een gebruiker, waardoor bypass van referentiecontrole.”
De huidige versie van de app die beschikbaar is in winkels is niet vatbaar voor dit probleem, merkte Adukia op, maar gebruikers die mogelijk niet zijn bijgewerkt naar de nieuwste versie van de app kunnen nog steeds een vervalst vaccin uploaden geloofsbrieven vandaag.
In een technisch advies van NCC Group hebben onderzoekers screenshots van vervalste inloggegevens opgenomen die kunnen worden gescand door de Wallet-app en als een legitieme pas kunnen worden toegevoegd.
Een screenshot van de valse inloggegevens.
NCC Group
Adukia zei dat NCC Group-onderzoekers momenteel problemen analyseren en bespreken in andere door de staat beheerde COVID-19-apps en van plan zijn om de routinematige openbaarmakingsprocessen met eventuele leveranciers te volgen.
Miljoenen mensen hebben manieren gevonden om valse vaccinkaarten of andere verificaties te bemachtigen, waardoor ze kunnen doen alsof ze een van de vele gratis COVID-19-vaccins hebben ontvangen die in de VS beschikbaar zijn.
Volgens een rapport van Check Point Research in augustus worden verschillende COVID-19-vaccinverificaties tegen steeds lagere prijzen verkocht op het dark web. Onderzoekers ontdekten dat de prijzen voor EU Digital COVID-certificaten en CDC- en NHS COVID-vaccinkaarten tot $ 100 waren gedaald.
Uit het onderzoek van Check Point Research bleek dat groepen met meer dan 450.000 mensen reclame maakten voor de nepvaccinverificaties. In maart ontdekte een eerder rapport van het bedrijf dat de prijs voor valse vaccinpaspoorten op het dark web ongeveer $ 250 was en dat advertenties voor de oplichting nieuwe niveaus bereikten.
De onderzoekers kunnen nu valse certificaten vinden die worden verkocht door groepen en mensen in de VS, het VK, Duitsland, Griekenland, Nederland, Italië, Frankrijk, Zwitserland, Pakistan en Indonesië.
De piek in de vraag naar valse vaccinpaspoorten en -kaarten komt doordat honderden bedrijven werknemers en klanten dwingen bewijs van COVID-19-vaccinatie te tonen voordat ze kantoren of bedrijven binnenkomen.
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 