Ein Sicherheitsforscher konnte die Ergebnisse eines COVID-Tests zu Hause ändern und diese Ergebnisse zertifizieren lassen, indem er Bluetooth-Datenverkehr vom Gerät abhörte und änderte, bevor er die App erreichte. Der Forscher, Ken Gannon, fand den Fehler im Nasenabstrichtest von Ellume, der dazu dient, Daten zu analysieren und an eine Begleit-App zu übertragen, die die Ergebnisse anzeigt und speichert. Laut einer Pressemitteilung von F-Secure, dem Sicherheitsunternehmen, das Gannon berät, hat Ellume das Problem nun behoben.
Der Prozess der Fälschung von Ergebnissen war nicht einfach – laut dem Bericht von F-Secure verwendete der Forscher ein gerootetes Android-Gerät, um die Daten abzugreifen und zu analysieren, die der Tester an die App schickte. Von dort aus konnte Gannon feststellen, wie die Ergebnisse gesendet und wie ihre Echtheit überprüft wurde. Dann schrieb er zwei Skripte, die erfolgreich ein negatives Ergebnis in ein positives verwandeln konnten. Als er eine E-Mail mit seinen Ergebnissen von Ellume erhielt, sagte er, sie habe fälschlicherweise gezeigt, dass er positiv getestet wurde. Wenn Sie sich für die technischen Details interessieren, können Sie den Bericht hier lesen.
Ellume sagt, dass es den Empfehlungen gefolgt ist, um diese Art von Exploit schwieriger zu machen
Ellume sagt, dass es den Empfehlungen von F-Secure gefolgt ist, mehr Analysen durchzuführen, um sicherzustellen, dass die Daten korrekt sind, und Änderungen an der App vorgenommen hat, die es schwieriger machen sollten, ihre Daten zu analysieren oder die Datenübertragung zu übernehmen. Gannon teilte The Verge in einer E-Mail mit, dass er nicht getestet habe, ob seine Forschung auf die iOS-Version der App anwendbar sei, und dass das Ziel seiner Forschung darin bestehe, „zu sehen, ob eine ‚durchschnittliche Person‘ eine positive/negativer COVID-Test.“ Er sagte, dass theoretisch “ein engagierter Bedrohungsakteur [seine] Nachforschungen nutzen könnte, um die Ellume-App so zu modifizieren, dass sie immer ein positives/negatives Ergebnis meldet”, die auf einem nicht gerooteten Telefon installiert werden könnte.
Während Gannons Bericht nur negative Ergebnisse in positive umwandelt, sagt er in der Pressemitteilung von F-Secure, dass „der Prozess in beide Richtungen funktioniert“. Vor den Patches von Ellume sagt Gannon, dass “jemand mit der richtigen Motivation und den technischen Fähigkeiten diese Fehler hätte nutzen können, um sicherzustellen, dass er oder jemand, mit dem er zusammenarbeiten, jedes Mal, wenn er getestet wird, ein negatives Ergebnis erhält.”
Theoretisch könnte eine gefälschte Bescheinigung eingereicht werden, um die Wiedereinreisebestimmungen der USA zu erfüllen. F-Secure konnte nicht nur ein falsches Ergebnis zertifizieren, sondern auch, ohne dass ein Videotest-Supervisor es erkennen konnte.
In der Pressemitteilung heißt es, dass Ellume jetzt an einem „Überprüfungsportal“, das es den Behörden ermöglicht, die Echtheit der Heimtests zu überprüfen und alle vorherigen Ergebnisse auf Richtigkeit zu analysieren. Ellume sagt, es sei herausgefunden worden, dass keiner von ihnen gefälscht war.