Questo ricercatore di sicurezza ha ingannato un test COVID-19 a casa usando un hack Bluetooth

0
211

Un ricercatore di sicurezza è stato in grado di modificare i risultati di un test COVID a casa e ottenere la certificazione di tali risultati intercettando e modificando il traffico Bluetooth dal dispositivo prima che raggiungesse l'app. Il ricercatore, Ken Gannon, ha trovato il difetto nel test del tampone nasale di Ellume, progettato per analizzare e trasmettere i dati a un'app complementare che visualizza e salva i risultati. Secondo un comunicato stampa di F-Secure, la società di sicurezza per cui Gannon consulta, Ellume ha ora risolto il problema.

Il processo di falsificazione dei risultati non è stato semplice: secondo il resoconto di F-Secure, il ricercatore ha utilizzato un dispositivo Android con root per attingere e analizzare i dati che il tester stava inviando all'app. Da lì, Gannon è stato in grado di determinare come sono stati inviati i risultati e come è stata verificata la loro autenticità. Quindi, ha scritto due script che sono stati in grado di trasformare con successo un risultato negativo in uno positivo. Quando ha ricevuto un'e-mail con i suoi risultati da Ellume, dice, ha mostrato erroneamente che era risultato positivo. Se sei interessato ai dettagli tecnici, puoi leggere il resoconto qui.

Ellume afferma di aver seguito i consigli per rendere più difficile questo tipo di exploit

Ellume afferma di aver seguito le raccomandazioni di F-Secure di eseguire più analisi per garantire che i dati fossero accurati e di aver apportato modifiche all'app che dovrebbero rendere più difficile l'analisi dei suoi dati o la trasmissione dei dati. Gannon ha detto a The Verge in una e-mail che non ha testato per vedere se la sua ricerca era applicabile alla versione iOS dell'app e che l'obiettivo della sua ricerca era “vedere se una 'persona media' può fingere un positivo/test COVID negativo”. Ha affermato che, in teoria, “un attore di minacce dedicato potrebbe utilizzare la [sua] ricerca per modificare l'app Ellume per segnalare sempre un risultato positivo/negativo”, che potrebbe essere installato su un telefono senza root.

Anche se il resoconto di Gannon include solo la modifica dei risultati negativi in ​​positivi, nel comunicato stampa di F-Secure afferma che “il processo funziona in entrambe le direzioni”. Prima delle patch di Ellume, Gannon afferma che “qualcuno con la motivazione e le capacità tecniche adeguate avrebbe potuto utilizzare questi difetti per assicurarsi che loro, o qualcuno con cui stanno lavorando, ottengano un risultato negativo ogni volta che vengono testati”.

In teoria, potrebbe essere presentata una certificazione falsa per soddisfare i requisiti di rientro negli Stati Uniti. Non solo F-Secure è stato in grado di ottenere la certificazione di un risultato errato, ma lo ha fatto senza che un supervisore del test video fosse in grado di rilevarlo.

Il comunicato stampa afferma che Ellume sta ora lavorando su un “portale di verifica” che consentirà alle autorità di verificare che i suoi test a domicilio siano autentici ed è tornato ad analizzare tutti i suoi risultati precedenti per verificarne l'accuratezza. Ellume dice di aver scoperto che nessuno di loro era stato falsificato.