13:23
9/4/2020

Władze 28 krajów i regionów uznały, że monitorowanie rozprzestrzeniania się koronawirusa z użyciem aplikacji mobilnych to dobry pomysł. Niestety, oprogramowanie tworzone w pośpiechu może być nie tylko pomocą, ale i zagrożeniem.

Jeśli chcecie poznać aplikacje “koronawirusowe” z różnych krajów, zajrzyjcie na stronę Covid19 Tracker Apps. Została ona opracowana przez francuskiego badacza Elliota Andersona. Niestety, pojawiają się już analizy, które poddają pod wątpliwość bezpieczeństwo niektórych aplikacji.

CoronApp, czyli jak tego nie robić

Aplikacja CoronApp powstała w Kolumbii na zlecenie prezydenta i rekomendowana jest mieszkańcom jako narzędzie pomocne w śledzeniu symptomów mogących wiązać się z zachorowaniem na COVID-19. W wersji na Androida program wymaga od użytkownika m.in. pozwolenia na gromadzenie zgrubnych i szczegółowych danych o lokalizacji oraz na dostęp do kontaktów.

Zdaniem badaczy z ZeroFox wersja aplikacji 1.2.9 z 25 marca 2020 roku stwarza zagrożenie dla prywatności, mimo że sama w sobie nie zawiera potencjalnie złośliwych elementów. CoronApp nie komunikuje się z serwerem API w sposób bezpieczny, a wykorzystuje do tego celu zapisany „na twardo” w kodzie protokół HTTP, wykorzystywany następnie do przesyłania danych zawierających informacje o stanie zdrowia użytkowników oraz ich danych osobowych. Dokładna analiza aplikacji wykazała, że API_URL wywoływany jest przez http 55 razy (!), a okazja do naruszenia bezpieczeństwa wrażliwych danych medycznych poprzez atak typu man-in-the-middle pojawia się kilkukrotnie.

Pośpiech to nie wytłumaczenie

Autorzy analizy wskazali, że aplikacje do monitorowania kontaktów społecznych są tworzone w wielkim pośpiechu i służą do przetwarzania danych szczególnej kategorii (tj. zdrowotnych). W przypadku wyżej wymienionej aplikacji przetwarzane są również numery seryjne paszportów i hasła, przesyłane otwartym tekstem.

Serwer z którym aplikacja się komunikuje zlokalizowany jest w USA, a zatem jej operator powinien brać pod uwagę szczególne ryzyko dla cyberbezpieczeństwa. Społeczeństwo zaś, które jest docelowym odbiorcą oprogramowania aprobowanego przez rząd, powinno mieć wgląd w wyniki audytu bezpieczeństwa takiej aplikacji. Wszyscy się chyba zgodzimy, że pandemia nie stanowi okoliczności wyłączających z konieczności prowadzenia uważnej analizy kodu.

Błędy wykryte przez zespół zostały zgłoszone kolumbijskiemu CERT-owi, a twórcy aplikacji uwzględnili ich naprawę w kolejnej aktualizacji z dnia 29 marca.

Tylna furtka we włoskim stylu

We Włoszech wiele regionów ma swoje własne aplikacje wydane na czas pandemii. Wszystkie łączy to, że można wpisywać w nie dane na temat swoich objawów choroby, a także korzystać z nich z użyciem technologii Bluetooth celem rejestrowania możliwych spotkań z potencjalnymi nosicielami koronawirusa (podobnier jak w singapurskiej aplikacji Trace Together i rozwijanej w Polsce ProteGO).

Jedna z dystrybuowanych we Włoszech aplikacji, znajdująca się wciąż w fazie beta, została „uzupełniona” o tylną furtkę przez kogoś posługującego się certyfikatem podpisanym jako „Raven”. Łącznie znaleziono 12 plików APK zawierających złośliwy kod dystrybuowany w ramach jednej kampanii, której realizacja jest możliwa dlatego, że regionalne aplikacje we Włoszech nie są rozpowszechniane z użyciem oficjalnego kanału pozyskiwania oprogramowania na Androida. Taki sposób promocji aplikacji do walki z pandemią poszerza powierzchnię ataku na użytkowników i zagrożenie dla bezpieczeństwa ich danych i prywatności.

Kod backdora w funkcji main. Źródło obrazka: ZeroFox

Potrzeba testów!

Aplikacje do walki z epidemią też muszą być testowane. Obecny kryzys jest doskonałym sprawdzianem dla jakości pośpiesznie prowadzonej cyfryzacji wielu aspektów naszego życia. Dobrze będzie zadbać o otwartość kodu aplikacji, ale na tym nie można poprzestać. Jeszcze raz przypomnimy, że Fundacja Panoptykon opublikowała bardzo ważny i sensowny apel dotyczący tego w jaki sposób należy zaprzęgać technologię do walki. Zgadzamy się z nim w 100%.

Przeczytaj także:



9 komentarzy

Dodaj komentarz
  1. covid-10? :P

    • govid-20

  2. Niech każdy komu chodzi po głowie pisanie takich aplikacji, ze szczególnym uwzględnieniem kowbojów od polskiego ProteGO, poczyta sobie najpierw http://www.pepp-pt.org

    • Ale zanim sobie pokrzyczałeś, to przejrzałeś Githuba ProteGo i wiesz, że temat już tam przewałkowali parę razy?

  3. […] rządów i firm, mniej lub bardzie udolnie, tworzy teraz aplikacje (np. “Kwarantanna Domowa“) i systemy (np. w […]

  4. Największym zagrożeniem jednak tu jest to, że potem ministerstwo weźmie taką gotową aplikację, doda do niej funkcje do własnych celów i uczyni ją obowiązkową. Proponuję się więc zastanowić, czy nie powinno być w licencjach zapisane, że aplikacji ani jej pochodnej nie można uczynić obowiązkową ani odpłatną.

  5. […] Apki do walki z COVID-19 – oni zrobili to źle […]

  6. […] być szkodliwy dla prywatności użytkownika aplikacji, a w walce z koronawirusem niewiele pomoże? Pisaliśmy już o tym w kilku poprzednich naszych artykułach, ale […]

  7. Obyśmy jak najszybciej wrócili do normalności, wszyscy w zdrowiu! Tego Wam życzę :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: