Egy olyan dokumentum magunknál tartása, amely igazolja, hogy megkaptuk a COVID-19 elleni vakcina szükséges dózisait, kellemetlenség lehet. Ennek ellenére egyre többen elfogadják ezt a normalitáshoz való visszatérés áraként.
Ahogy az országok újra megnyitják határaikat, jogos igény mutatkozik az oltási útleveleink digitális változataira. Az államok pedig a lehető leggyorsabban igyekeznek eleget tenni ennek az igénynek. Azonban az alkalmazások elkapkodott kiadásából adódóan sokuk súlyos sebezhetőségi problémákkal küzd.
Ebben a cikkben összegyűjtöttük a leghírhedtebb eseteket. Emellett egy életképes lehetőséget is javaslunk a meggyőzőnek tűnő, de hamisított analóg és digitális oltási útlevelek kiszűrésére.
Miért jelent kockázatot a vakcinaútlevél sebezhetősége?
Mindannyian tudjuk, hogy nem létezik tökéletes mobilalkalmazás. Sok esetben egy hiba nem több, mint kellemetlenség. A sebezhetőség azonban prioritássá válik azoknál az alkalmazásoknál, amelyek érzékeny adatokat tárolnak, például a vakcinaútlevélnél.
A New York Times tudósítója, Ceylan Yeğinsu azt írja, hogy a fő probléma az, hogy az útlevél egy kormány által kiállított dokumentum a személyes adatok igazolására. Így „sokan attól tartanak […], hogy személyes és érzékeny egészségügyi információkat adnak át, amelyeket az adatkezelők könnyen visszaélésre használhatnak.” És a gyógyintézményekkel ellentétben, ahol a törvények szigorúan szabályozzák, hogyan kell az ilyen információkat kezelni, az egészségügyi ágazaton kívüli vállalkozások azt tesznek az egészségügyi adatainkkal, amit akarnak.
A Panda Security, egy vírusirtó megoldásokat gyártó vállalat nem reprezentatív kutatást végzett a vakcinaútlevelekkel kapcsolatban. Kiderült, hogy az emberek 56%-a aggódik adatai biztonsága miatt. Sajnos minden okuk megvan attól félni, hogy adatlopás áldozatává válnak. A COVID-19 világjárvány korai szakaszában négy amerikai államot értek kibertámadások, amelyek a munkanélküli-ellátásra jelentkezőket vették célba.
Ennélfogva a digitális COVID-igazolásoknak már a kezdetektől fogva golyóállónak kellene lenniük. Ezeket az alkalmazásokat azonban gyorsan kellett kifejleszteni, hogy a lehető leghamarabb feloldhassák az utazási és társadalmi korlátozásokat. Ez különböző mértékben aggasztó hibákhoz vezetett.
Ismert digitális oltási útlevél-sebezhetőségek példái
NYC Safe: Egy fotó, ami mindet becsapja
Egy nyomtatott oltási útlevélről nehéz megállapítani, hogy hamis-e vagy sem, hát még a dokumentumról készült fotó alapján. Ez volt a helyzet New York NYC Safe alkalmazásával is. Mivel hevesen bírálták, hogy nem több puszta fotótárolónál a papíralapú COVID-útlevelek számára, az alkalmazás lehetővé tette, hogy bárki bármilyen dokumentumot feltöltsön, legyen az valódi vagy hamisított. A rendszer gyengesége túlságosan is nyilvánvalóvá vált, amikor egy Mickey egérről készült portrét is elfogadott az oltás igazolásaként.
NYC Excelsior Pass Wallet: Hamis igazolások
A New York állam polgárai számára készült, hírhedt amerikai digitális oltási útlevél esete egy másik típusú kockázatra is rávilágított. Ahogy az NCC Group feltárta, a NYC Excelsior Pass Wallet alkalmazás lehetővé tette, hogy az emberek hamis oltási igazolásokat hozzanak létre és tároljanak pusztán egy hamis dokumentum beszkennelésével. A felhasználók könnyedén kihasználhatták azt a tényt, hogy a COVID-igazolást nem ellenőrizték megfelelően.
Ausztrália Express Plus Medicare-je: Az animált validátor lemásolása
Tíz perc. Ennyi idő kellett Richard Nelsonnak, egy sydney-i szoftvermérnöknek ahhoz, hogy feltárja az ausztrál Express Plus Medicare COVID-19 alkalmazás sebezhetőségét. Azt is bebizonyította, miért elengedhetetlenek a QR-kódok az oltási útlevelekhez. Az ausztrál COVID-igazolás fő problémája az, hogy az alapadatokon túl egy állítólag egyedi animációt is tartalmaz, amely az útlevél érvényességét hivatott demonstrálni. Nelson könnyedén le tudta másolni ezt az animációt, így annyi hamis digitális oltási útlevelet készíthetett, amennyit csak akart.
Québec VaxiCode Verifje: Hamisított digitális aláírások
A világszerte használt számos COVID-igazolás alkalmazáshoz hasonlóan a kanadai Québec által kiadott digitális oltási útlevél is QR-kódokat használ, amelyek a szükséges oltási adatokat digitális aláírásokkal kombinálva tartalmazzák. A digitális aláírás aszimmetrikus kriptográfián alapul, két kulcsot használva. Elméletileg ez garantálja, hogy az ellenőrző alkalmazás ne azonosítsa a hamis igazolványokat legitimként.
Egy kiberbiztonsági szakértőnek mégis viszonylag könnyen sikerült rászednie a VaxiCode Verifet. Létrehozott egy kulcspárt, és a nyilvános kulcsot elérhetővé tette egy adott weboldalon. Ezután két QR-kódot készített. Az egyik egy érvényes digitális oltási útlevélnek adta ki magát, amely tartalmazta a nyilvános kulcsot és egy simán hamis COVID-igazolást. Ezután a nyilvános kulcsot tartalmazó QR-kódot bemutatta az alkalmazásnak. Az helyesen elutasította érvényes COVID-igazolásként, ugyanakkor egyidejűleg kényszerítve letöltötte a nyilvános kulcsot. Ezt követően az alkalmazás a másik hamis digitális oltási útlevelet érvényesként ellenőrizte.
Hozzá kell tennünk, hogy az alkalmazás fejlesztői gyorsan reagáltak. Nem sokkal az incidens után kiadtak egy új verziót, amely megszüntette a problémát.
EU digitális COVID-igazolás: a halottak beoltása
Ami az európai oltási útlevelet illeti, amelyet EU digitális COVID-igazolásnak neveznek, a szakértők általában dicsérik, amiért megvalósítja a GDPR szigorú adatvédelmi szabályait, különösen a tengerentúlról nézve. Valójában kockázatot jelentett, hogy az EU tagállamai saját verziókat fejleszthettek a COVID-igazolásból, ami végül kifizetődött. Ez azonban nem jelenti azt, hogy ne lettek volna hibák.
A német számítógépes biztonsági vállalat, a GData munkatársa, Tim Berghoff számos problémára mutatott rá az EU-igazolás német verziójával kapcsolatban. Kettőt emelünk ki:
- Papíralapú COVID-igazolások esetében, amelyeket gyógyszertár vagy orvosi rendelő állított ki, nem ellenőrizték az alkalmazásba átvitt adatok pontosságát. Kiberbiztonsági szakértőknek sikerült érvényesíteniük egy EU-s oltási útlevelet annak ellenére, hogy ugyanazt a dátumot mutatta a vizsgálati alany első és második oltására.
- Berghoff és csapata létre tudott hozni egy oltási útlevelet Robert Koch számára, aki egy 19. századi német mikrobiológus volt. Az EU digitális COVID-igazolásnak nem okozott gondot egy rég elhunyt személy oltásának érvényesítése.
Jelentenek megoldást a papíralapú oltási útlevelek?
Nem igazán. Elismerve, logikus lépésnek tűnik elfelejteni a digitális oltási útleveleket, és a zsebünkben tartani az oltási igazolásainkat.
Digitális megfelelőikhez hasonlóan a papíralapú igazolásokat is elhamarkodva vezették be. Ez oda vezetett, hogy az analóg oltási útleveleket könnyű volt meghamisítani. Az Egyesült Államokban a Centers for Disease Control and Prevention (CDC) egy olyan igazolást adott ki, amelyen az adatokat tintával írták be. Nem meglepő, hogy a csalók megragadták az alkalmat, és elárasztották a feketepiacot hamis oltási útlevelekkel.
Ennek következtében ezek a hamis igazolások minimális vagy semmilyen hitelesség-ellenőrzési funkcióval nem rendelkező COVID-alkalmazásokba is gyorsan bekerülhettek. Ez lehetővé teszi, hogy az oltatlan emberek olyan helyekre is bejussanak, ahol az egyénektől megkövetelik az oltottságot.
Az oltottsági státusz ellenőrzése
Az alkalmazáshibákat és problémákat előbb-utóbb mindig felfedezik és kijavítják. Ez történt Québec és New York állam alkalmazásai esetében is. Továbbá a virtuális COVID-igazolások – legalábbis azok, amelyek digitális aláírásokat alkalmaznak – még mindig ellenállóbbak a hamisítással szemben, mint papíralapú megfelelőik. Mindenesetre azoknak, akik jobban bíznak az analóg oltási útlevelekben, gondoskodniuk kell arról, hogy biztonságos helyen tárolják őket.
Ha egy vállalkozás része vagy, és ellenőrizned kell a digitális oltási igazolások érvényességét, két dolgot érdemes figyelembe venned. Először is, ellenőrizd, majd ellenőrizd újra az előtted lévő dokumentumot. Bár egyes nemzeti és nemzetközi oltási útlevelek nem rendelkeznek olyan fejlett biztonsági megoldásokkal, mint a digitális aláírás, ezek kisebbségben vannak. Az oltási útlevelet megkövetelő államok száma növekszik. Sokuk valószínűleg nem fogja elfogadni a sebezhető igazolásokat érvényes úti okmányként.
Az egyik módja annak, hogy ellenőrizd, nem hamis COVID-igazolást mutat-e be valaki, ha összeveted egy másik személyazonosító okmánnyal. Egy fejlett, automatizált okmányolvasó, mint az Osmond, képes ellenőrizni egy útlevél hitelességét, miközben optikai karakterfelismerő (OCR) technológia segítségével gyakorlatilag az összes adatot kinyeri az útlevelekből, beleértve az utazó nevét, származási országát és még sok mást.
Kérdése vagy érdeklődése van? Az út minden lépésénél támogatjuk Önt:
