New York-staten har løst et problem med Excelsior Pass Wallet som lar brukerne skaffe og lagre vaksinopplysninger for COVID-19.
Problemet – oppdaget av forskere ved NCC Group – lar noen “opprette og lagre falske vaksinebevis i deres NYS Excelsior Pass Wallet som kan tillate dem å få tilgang til fysiske rom (for eksempel virksomheter og arrangementer) der de ville ikke tillatt uten vaksinasjonsbevis, selv når de ikke har mottatt en COVID-19-vaksine. ”
Forskerne fant at applikasjonen ikke validerte vaksinebevis som ble lagt til i den, slik at forfalskede legitimasjoner kunne lagres av brukere.
New York State ble varslet om problemet 30. april, men brukte måneder på å ignorere meldinger fra NCC Group. Det var bare til forskerne kontaktet NYS ITS Cyber Command Center i juli at de fikk et svar fra staten om problemet.
En oppdatering som løste problemet ble utgitt 20. august. Statens embetsmenn i New York gjorde ikke svare på forespørsler om kommentar fra ZDNet.
Siddarth Adukia, teknisk direktør i NCC Group, sa til ZDNet at den utbredte utbredelsen av søknader om vaksinasjonspass og deres iboende sikkerhet og personvernimplikasjoner gjør dem til et naturlig interesseområde for sikkerhetsforskning.
“Hos NCC Group har vi nylig sett på en rekke av disse appene. Vi ønsket å måle i hvilken grad en bruker (eller et sted) burde stole på disse systemene, og hvordan personvernet til noen bruk av slike systemer vil bli påvirket, “sa Adukia.
“Vi begynte med NYS Excelsior Pass -applikasjonene, da de var en av de første som ble lansert i USA, og vi hadde konsulenter som bor i staten New York, inkludert meg selv, som personlig var opptatt av å sikre systemets sikkerhet og personvern. Vi fant problemet etter trusselmodellering av mulige angreps- og overgrepsvektorer mot programmet og systemet generelt. ”
Adukia sa at teamet hans ombygde mobilappen og avlyttet nettverkstrafikk, slik at de kunne undersøke applikasjonen for mulige problemer som informasjonslekkasje, svak kryptografi og andre vanlige applikasjonssikkerhetsproblemer.
Adukia forklarte at applikasjonen lar brukerne skanne en QR -kode for å legge til en legitimasjon i lommeboken eller legge til en gjennom enhetens fotogalleri.
“Problemet vi fant tillot falske legitimasjoner å bli lagret i lommeboken. Begge vektorene tillot selv ikke -tekniske brukere for å skanne en falsk legitimasjon (laget av dem selv eller via et nettsted), og lagre den som en digital vaksinebevis i NYS Excelsior Wallet -applikasjonen, “la Adukia til.
“Brukerne kan deretter presentere legitimasjonen gjennom den offisielle appen til arenaer og prøve å få fysisk tilgang. Mange arenaer bruker ikke skannerappen eller ignorerer bekreftelsesresultatene og stoler på de tilsynelatende legitime dataene på en brukers enhet, slik at bypass kan tillates av legitimasjonskontroll. “
Den nåværende versjonen av appen som er tilgjengelig i butikker, er ikke utsatt for dette problemet, bemerket Adukia, men brukere som kanskje ikke har oppdatert til den nyeste versjonen av appen, kan fortsatt laste opp forfalsket vaksine legitimasjon i dag.
I en teknisk rådgivning fra NCC Group inkluderte forskere skjermbilder av forfalskede legitimasjoner som kan skannes av Wallet -appen og legges til som et legitimt pass.
Et skjermbilde av de falske legitimasjonene.
NCC Group
Adukia sa at forskere fra NCC Group for tiden analyserer og diskuterer problemer i andre statlige COVID-19-apper og planlegger å følge rutinemessige avsløringsprosesser med eventuelle leverandører.
Millioner av mennesker har funnet måter å skaffe falske vaksinekort eller andre verifikasjoner slik at de kan late som om de har mottatt en av de mange gratis COVID-19-vaksinene som er tilgjengelige i USA.
En rekke COVID-19-vaksineverifikasjoner selges til stadig lavere priser på det mørke nettet, ifølge en rapport i august fra Check Point Research. Forskere fant at prisene på EU Digital COVID -sertifikater samt CDC- og NHS COVID -vaksinekort hadde falt så lavt som $ 100.
Check Point Researchs studie fant grupper som annonserte falske vaksineverifikasjoner i grupper med mer enn 450 000 mennesker. I mars fant en tidligere rapport fra selskapet at prisen for falske vaksinepass var rundt $ 250 på det mørke nettet, og at reklame for svindelene nådde nye nivåer.
Forskerne kan nå finne falske sertifikater som selges fra grupper og mennesker i USA, Storbritannia, Tyskland, Hellas, Nederland, Italia, Frankrike, Sveits, Pakistan og Indonesia.
Økningen i etterspørselen etter falske vaksinepass og kort kommer da hundrevis av selskaper tvinger ansatte og kunder til å vise bevis på COVID-19-vaksinasjon før de kommer inn på kontorer eller bedrifter.
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Datahåndteringssikkerhet TV CXO datasentre