Aplikacja ProteGO Safe zostanie poddana audytowi bezpieczeństwa

11 czerwca, 2020

Eksperci cyberbezpieczeństwa wyrażają poważne obawy związane z wdrażaniem aplikacji śledzących kontakty z koronawirusem. Specjaliści firmy Check Point powołują się m.in. na możliwości lokalizowania urządzeń, naruszenia bezpieczeństwa danych osobowych, przechwytywania ruchu przez aplikacje i generowania fałszywych raportów zdrowotnych. W Polsce tego typu aplikacja – ProteGO Safe, stworzona przez Ministerstwo Cyfryzacji, już w dniu premiery wywołała niemałe kontrowersje, w związku z akcją promocyjną przeprowadzoną przez boty internetowe.

Analitycy firmy Check Point w ostatnim czasie dokładnie badają różnego rodzaju aplikacje stworzone do śledzenia kontaktów międzyludzkich w związku z pandemią Covid-19. Po wstępnym przeglądzie eksperci zgłosili szereg obaw dotyczących sposobu wdrażania aplikacji do śledzenia kontaktów. Badacze przedstawili swoje obawy m.in. w związku z możliwością śledzenia urządzeń przez osoby postronne.

 

Niektóre z aplikacji bazują na technologii Bluetooth Low Energy (BLE) – urządzenia nadają pakiety typu handshake, które ułatwiają identyfikację kontaktu z innymi urządzeniami. Jeśli nie zostaną one prawidłowo zaimplementowane, hakerzy mogą śledzić urządzenie danej osoby poprzez korelację urządzeń z odpowiednimi pakietami identyfikacyjnymi.

Wspomniane aplikacje przechowują dzienniki kontaktów, klucze szyfrujące i inne poufne dane na urządzeniach. Tego typu dane wrażliwe powinny być zaszyfrowane i przechowywane w tzw. „piaskownicy” (sandbox) aplikacji, a nie w lokalizacjach współdzielonych. Jednak nawet w sandboksie, przy uzyskaniu uprawnień roota lub fizycznego dostępu do urządzenia, dane mogą być zagrożone.

Co więcej, użytkownicy mogą być podatni na ataki „man-in-the-middle” i przechwytywanie ruchu generowanego przez aplikację, jeżeli cała komunikacja z serwerem pomocniczym aplikacji nie będzie prawidłowo zaszyfrowana. Eksperci twierdzą, że ważne jest, aby aplikacje kontaktowe dokonywały odpowiedniego uwierzytelnienia, gdy informacje są wysyłane na serwery, np. gdy użytkownik umieszcza swoją diagnozę i dzienniki kontaktów. Bez niej może się okazać, że serwery zostaną zalane fałszywymi raportami o stanie zdrowia, podważając tym samym wiarygodność całego systemu.

Nasi eksperci wciąż zastanawiają się, czy aplikacje śledzące kontakty międzyludzkie są rzeczywiście bezpieczne. Po wstępnej ocenie, mamy pewne obawy. Tego typu programy muszą zachować delikatną równowagę między prywatnością a bezpieczeństwem, ponieważ niewłaściwe wdrożenie norm bezpieczeństwa może stanowić poważne zagrożenie dla danych użytkowników. Problem sprowadza się również do pytań o to, jakie dane są gromadzone, jak są przechowywane i w jaki sposób są one rozpowszechniane.

– komentuje Jonathan Shimonovich, menedżer działu badań urządzeń mobilnych w firmie Check Point.

Jak informują przedstawiciele firmy, w najbliższych tygodniach badania nad tego typu aplikacjami będą intensywnie i skrupulatnie prowadzone, by uzyskać pewność, że dane użytkowników pozostaną bezpieczne. Wśród badanych aplikacji jest również ProteGO Safe, zaprezentowana przez polskie Ministerstwo Cyfryzacji.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]