Ett antal allvarliga säkerhetsintrång har upptäckts i kontaktspårningsappen som NHS för närvarande testar för att stoppa spridningen av Covid-19. Ett team av erfarna säkerhetsforskare har upptäckt olika problem som kan påverka användarnas integritet och till och med sabotera själva appen. Appen testas för närvarande på Isle of Wight inför dess eventuella nationella lansering och har av den brittiska regeringen utpekats som ett nyckelvapen för att stoppa epidemin.
NHS coronavirus-app
Teamet bakom rapporten bestod av oberoende forskare och talare, Dr Chris Culnane och Vanessa Teague, VD för Thinking Cybersecurity. Bland de "diverse" problem som upptäcktes av paret fanns flera svagheter i registreringsprocessen som kunde tillåta angripare att stjäla krypteringsnycklar. Detta kan tillåta inkräktare att förhindra användare från att meddelas om en av deras kontakter testade positivt för Covid-19, eller till och med skicka falska varningar. Appen har också visat sig lagra okrypterad data på telefoner som kan användas av polisen för att avgöra när två eller flera personer träffas. Teamet fann också att appen genererade en ny slumpmässig ID-kod för användare en gång om dagen, i motsats till en rivaliserande app utvecklad av Apple och Google som genererade en ny kod var 15:e minut för ökad säkerhet. Appen Apple och Google verkar fungera på Android- och iOS-enheter som använder Bluetooth-signaler med låg effekt för att skapa en karta över personerna som en användare har varit i kontakt med. Teague och Culnane rekommenderar att NHS går från det "centraliserade" tillvägagångssätt som det för närvarande använder, där data delas och kontaktspårning görs på ett centralt serversystem, till ett "decentraliserat" tillvägagångssätt, där matchning sker mellan användarenheter. "Det kan alltid finnas buggar och säkerhetshål i de decentraliserade eller centraliserade modellerna," sa Teague. "Men den stora skillnaden är att en decentraliserad lösning inte skulle ha en central server med de senaste kontakterna ansikte mot ansikte för varje infekterad person." "Därför finns det en mycket lägre risk att den här databasen läcker eller missbrukas."
Alert
Teamet sa att de hade delat sina resultat med National Cyber Security Center (NCSC), som i sin tur berättade för BBC att de redan var medvetna om de flesta av de problem som togs upp och att de var i färd med att försöka lösa dem. eftersom publicering av koden och förklara besluten bakom appen förväntades väcka konstruktiva diskussioner med säkerhets- och integritetsgemenskapen, säger en talesperson för NCSC i ett uttalande. . "Vi ser fram emot att fortsätta arbeta med säkerhets- och kryptografiforskare för att göra appen så bra den kan vara." "Den här appen skulle aldrig bli perfekt från grunden, men det är uppfriskande att höra att regeringen lyssnar på oberoende forskning och accepterar förslag med framtida revisioner", säger Jake Moore, ESETs cybersäkerhetsspecialist. "Som med många appar är den första versionen sällan användbar, men den är tillgänglig på användarnas telefoner, där de enkelt kan distribuera nya versioner. "När appen är allmänt tillgänglig för de flesta kommer deras avsikter helt klart att ha bättre effekter. Det största problemet är dock den uppenbara bristen på lagstiftning som skyddar dessa uppgifter. Att inte veta om och hur uppgifterna kan användas i framtiden, eller ens om de kommer att raderas, är viktigt för användarna. Det är viktigt att allmänhetens integritet står i centrum. Annars kan allmänheten ge dig tillbaka till app innan den hann rulla ut till rätt mängd människor och gå in i någon form av effekt." Via BBC