„Chytré karantény“ a aplikace pro trasování kontaktů přináší i bezpečnostní rizika

Výzkumný tým kyberbezpečnostní společnosti Check Point upozorňuje na rizika spojená s aplikacemi pro trasování kontaktů, které používají vlády v rámci „chytré karantény“ pro sledování šíření koronavirové nákazy. Mezi možná rizika patří sledování zařízení, únik osobních údajů, zachycení provozu aplikací a falešné zdravotnické reporty.

  • GPS může prozradit citlivé informace a odhalit cesty a polohy uživatelů za několik posledních dnů nebo týdnů
  • BLE (Bluetooth Low Energy) lze použít k trasování zařízení
  • V zájmu zachování anonymity uživatele by s aplikací neměly být nikdy spojeny žádné osobní identifikátory (telefonní číslo, jméno, ID atd.)

Check Point postupně analyzuje aplikace pro trasování kontaktů v řadě evropských i mimoevropských zemí. Po úvodním prozkoumání vyjádřili bezpečnostní experti řadu obav. Výzkumný tým zmínil 4 problematické oblasti:

1. Zařízení lze sledovat. Protože některé aplikace pro trasování kontaktů spoléhají na BLE (Bluetooth Low Energy), zařízení vysílají handshake pakety, které usnadňují identifikaci kontaktu s jinými zařízeními. Pokud vše není implementováno správně, mohou hackeři sledovat zařízení pomocí kontaktu mezi zařízeními a příslušných identifikačních paketů.
2. Ohrožení osobních údajů. Některé aplikace ukládají informace o kontaktu s jinými uživateli, šifrovací klíče a další citlivá data do zařízení. Citlivá data by měla být šifrována a uložena v sandboxu a ne na sdílených místech. Dokonce i v sandboxu by v případě získání root oprávnění nebo fyzického přístupu k zařízení mohla být data ohrožena, a to zejména v případě, že jsou uloženy takové citlivé informace, jako je GPS poloha.
3. Zachycení provozu aplikace. Pokud veškerá komunikace aplikace se serverem není řádně šifrována, mohou uživatelé čelit „man-in-the-middle“ útokům a může dojít k zachycení provozu aplikace.
4. Riziko falešných zdravotnických reportů. Výzkumný tým upozorňuje, že je důležité, aby aplikace požadovaly ověření, pokud zasílají informace na servery, například když uživatel poskytuje svou diagnózu a informace o kontaktu s jinými uživateli. Bez řádného ověření existuje možnost zahltit servery falešnými zdravotními reporty, což by ohrozilo spolehlivost celého systému.

Check Point bude aplikace pro trasování kontaktů a „chytré karantény“ i nadále zkoumat.

Je důležité dodržovat základní bezpečnostní opatření.
1. Stahujte aplikace pouze z oficiálních zdrojů. Pokud si instalujete aplikace pro trasování kontaktů, využívejte pouze oficiální obchody s aplikacemi, které nabízí podobné aplikace pouze od autorizovaných vládních agentur. Protože se kyberzločinci snaží situace zneužít, množí se různé podvodné aplikace.
2. Používejte mobilní bezpečnostní řešení. Stáhněte si a nainstalujte mobilní bezpečnostní řešení, které bude hlídat vaše aplikace, ochrání zařízení před malwarem a ověří, že zařízení už nebylo infikováno.

„Je stále ještě brzy na to jednoznačně říci, jak bezpečné nebo rizikové jsou v globálním pohledu aplikace pro trasování kontaktů. Aplikace pro trasování kontaktů musí udržovat křehkou rovnováhu mezi soukromým a zabezpečením, protože špatná implementace bezpečnostních standardů může ohrozit data uživatelů. Je potřeba si tedy klást otázky, jaká data jsou shromažďována, jak jsou ukládána a jak jsou získaná data zpracovávána,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.

Více informací najdete na blogu společnosti Check Point:
https://blog.checkpoint.com/2020/06/11/coronavirus-contact-tracing-apps-managing-the-pandemic-spread-or-ending-privacy-for-individuals/

Newsletter