New York-staten har løst et problem med Excelsior Pass Wallet, der gør det muligt for brugere at erhverve og gemme COVID-19-vaccinationsoplysninger.
Problemet – opdaget af forskere ved NCC Group – giver nogen mulighed for at “oprette og gemme falske vaccinationsoplysninger i deres NYS Excelsior Pass Wallet, der muligvis giver dem adgang til fysiske rum (f.eks. Virksomheder og begivenhedssteder), hvor de ville ikke tilladt uden en vaccinationsoplysning, selv når de ikke har modtaget en COVID-19-vaccine. ”
Forskerne fandt ud af, at applikationen ikke validerede vaccinationsoplysninger, der blev tilføjet til den, hvilket tillod, at forfalskede legitimationsoplysninger kunne gemmes af brugerne.
New York State blev underrettet om problemet den 30. april, men brugte måneder på at ignorere meddelelser fra NCC Group. Det var først, indtil forskerne kontaktede NYS ITS Cyber Command Center i juli, at de fik et svar fra staten om problemet.
En patch, der løste problemet, blev frigivet den 20. august. Statens embedsmænd i New York gjorde ikke besvare anmodninger om kommentar fra ZDNet.
Siddarth Adukia, teknisk direktør i NCC Group, fortalte ZDNet, at den udbredte udbredelse af ansøgninger om vaccinationsoplysninger og deres iboende konsekvenser for sikkerhed og privatliv gør dem til et naturligt interesseområde for sikkerhedsforskning.
“Hos NCC Group har vi for nylig kigget på en række af disse apps. Vi ville vurdere, i hvilket omfang en bruger (eller et sted) skal have tillid til disse systemer, og hvordan en persons privatliv brug af sådanne systemer ville blive påvirket, “sagde Adukia.
“Vi startede med NYS Excelsior Pass -applikationerne, da de var en af de første, der blev lanceret i USA, og vi havde konsulenter, der bor i staten New York, inklusive mig selv, som personligt var optaget af at sikre systemets sikkerhed og privatliv. Vi fandt problemet efter trusselmodellering af mulige angrebs- og misbrugsvektorer mod applikationen og systemet generelt. ”
Adukia sagde, at hans team omvendt konstruerede mobilapplikationen og opfangede netværkstrafik, så de kunne undersøge applikationen for mulige problemer såsom informationslækage, svag kryptografi og andre almindelige applikationssikkerhedsproblemer.
Adukia forklarede, at applikationen giver brugerne mulighed for at scanne en QR -kode for at tilføje en legitimationsoplysninger til tegnebogen eller tilføje en via enhedens fotogalleri.
“Det problem, vi fandt, tillod falske legitimationsoplysninger at blive gemt i tegnebogen. Begge vektorer tillod selv ikke -tekniske brugere til at scanne en falsk legitimationsoplysninger (oprettet af dem selv eller via et websted) og gemme den som en digital vaccinationsoplysning i NYS Excelsior Wallet -applikationen, “tilføjede Adukia.
“Brugere kunne derefter præsentere legitimationsoplysninger via den officielle app til spillesteder og forsøge at få fysisk adgang. Mange steder bruger ikke scannerappen eller ignorerer verifikationsresultaterne og stoler på de tilsyneladende legitime data på en brugers enhed, hvilket tillader bypass af legitimationskontrol. “
Den aktuelle version af appen, der er tilgængelig i butikker, er ikke modtagelig for dette problem, bemærkede Adukia, men brugere, der muligvis ikke har opdateret til den nyeste version af appen, kan stadig uploade forfalsket vaccine legitimationsoplysninger i dag.
I en teknisk rådgivning fra NCC Group inkluderede forskere skærmbilleder af forfalskede legitimationsoplysninger, der kan scannes af Wallet -appen og tilføjes som et legitimt pas.
Et skærmbillede af de falske legitimationsoplysninger.
NCC Group
Adukia sagde, at NCC Group-forskere i øjeblikket analyserer og diskuterer spørgsmål i andre statsdrevne COVID-19-apps og planlægger at følge de rutinemæssige afsløringsprocesser med eventuelle leverandører.
Millioner af mennesker har fundet måder at erhverve falske vaccinkort eller andre verifikationer, så de kan lade som om, de har modtaget en af de mange gratis COVID-19-vacciner, der er tilgængelige i USA.
En række forskellige COVID-19-vaccineverifikationer sælges til stadig lavere priser på det mørke web, ifølge en rapport i august fra Check Point Research. Forskere fandt ud af, at priserne på EU Digital COVID -certifikater samt CDC- og NHS COVID -vaccinkort var faldet så lavt som $ 100.
Check Point Researchs undersøgelse fandt grupper, der annoncerede falske vaccineverifikationer i grupper med mere end 450.000 mennesker. I marts fandt en tidligere rapport fra virksomheden, at prisen for falske vaccinepas var omkring $ 250 på det mørke web, og at reklamer for svindelværdierne nåede nye niveauer.
Forskerne kan nu finde falske certifikater, der sælges fra grupper og mennesker i USA, Storbritannien, Tyskland, Grækenland, Holland, Italien, Frankrig, Schweiz, Pakistan og Indonesien.
Stigningen i efterspørgslen efter falske vaccinepas og -kort kommer, da hundredvis af virksomheder tvinger medarbejdere og kunder til at vise beviser for COVID-19-vaccination, inden de kommer ind på kontorer eller virksomheder.
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Datahåndtering Sikkerhed TV CXO datacentre