Aplikacja ProteGO Safe zostanie poddana audytowi bezpieczeństwa

11 czerwca 2020

Eksperci cyberbezpieczeństwa wyrażają poważne obawy związane z wdrażaniem aplikacji śledzących kontakty z koronawirusem. Specjaliści firmy Check Point powołują się m.in. na możliwości lokalizowania urządzeń, naruszenia bezpieczeństwa danych osobowych, przechwytywania ruchu przez aplikacje i generowania fałszywych raportów zdrowotnych. W Polsce tego typu aplikacja – ProteGO Safe, stworzona przez Ministerstwo Cyfryzacji, już w dniu premiery wywołała niemałe kontrowersje, w związku z akcją promocyjną przeprowadzoną przez boty internetowe.

Analitycy firmy Check Point w ostatnim czasie dokładnie badają różnego rodzaju aplikacje stworzone do śledzenia kontaktów międzyludzkich w związku z pandemią Covid-19. Po wstępnym przeglądzie eksperci zgłosili szereg obaw dotyczących sposobu wdrażania aplikacji do śledzenia kontaktów. Badacze przedstawili swoje obawy m.in. w związku z możliwością śledzenia urządzeń przez osoby postronne.

 

Niektóre z aplikacji bazują na technologii Bluetooth Low Energy (BLE) – urządzenia nadają pakiety typu handshake, które ułatwiają identyfikację kontaktu z innymi urządzeniami. Jeśli nie zostaną one prawidłowo zaimplementowane, hakerzy mogą śledzić urządzenie danej osoby poprzez korelację urządzeń z odpowiednimi pakietami identyfikacyjnymi.

Wspomniane aplikacje przechowują dzienniki kontaktów, klucze szyfrujące i inne poufne dane na urządzeniach. Tego typu dane wrażliwe powinny być zaszyfrowane i przechowywane w tzw. „piaskownicy” (sandbox) aplikacji, a nie w lokalizacjach współdzielonych. Jednak nawet w sandboksie, przy uzyskaniu uprawnień roota lub fizycznego dostępu do urządzenia, dane mogą być zagrożone.

Co więcej, użytkownicy mogą być podatni na ataki „man-in-the-middle” i przechwytywanie ruchu generowanego przez aplikację, jeżeli cała komunikacja z serwerem pomocniczym aplikacji nie będzie prawidłowo zaszyfrowana. Eksperci twierdzą, że ważne jest, aby aplikacje kontaktowe dokonywały odpowiedniego uwierzytelnienia, gdy informacje są wysyłane na serwery, np. gdy użytkownik umieszcza swoją diagnozę i dzienniki kontaktów. Bez niej może się okazać, że serwery zostaną zalane fałszywymi raportami o stanie zdrowia, podważając tym samym wiarygodność całego systemu.

Nasi eksperci wciąż zastanawiają się, czy aplikacje śledzące kontakty międzyludzkie są rzeczywiście bezpieczne. Po wstępnej ocenie, mamy pewne obawy. Tego typu programy muszą zachować delikatną równowagę między prywatnością a bezpieczeństwem, ponieważ niewłaściwe wdrożenie norm bezpieczeństwa może stanowić poważne zagrożenie dla danych użytkowników. Problem sprowadza się również do pytań o to, jakie dane są gromadzone, jak są przechowywane i w jaki sposób są one rozpowszechniane.

– komentuje Jonathan Shimonovich, menedżer działu badań urządzeń mobilnych w firmie Check Point.

Jak informują przedstawiciele firmy, w najbliższych tygodniach badania nad tego typu aplikacjami będą intensywnie i skrupulatnie prowadzone, by uzyskać pewność, że dane użytkowników pozostaną bezpieczne. Wśród badanych aplikacji jest również ProteGO Safe, zaprezentowana przez polskie Ministerstwo Cyfryzacji.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA