Noseniu dokladu, ktorý potvrdzuje, že ste dostali potrebné dávky vakcíny proti ochoreniu COVID-19, sa dá ľahko vyhnúť, ale pre mnohých je to nepríjemnosť. Stále viac ľudí to však akceptuje ako cenu za návrat k normálnemu životu.
Keďže krajiny opätovne otvárajú svoje hranice, rastie oprávnený dopyt po digitálnych verziách našich vakcinačných pasov. A štáty na tento dopyt reagujú čo najrýchlejšie. No kvôli unáhlenému vývoju mnohé z týchto aplikácií prichádzajú so závažnými zraniteľnosťami.
V tomto článku sme zhromaždili najznámejšie prípady. Zároveň navrhujeme životaschopnú možnosť, ako odhaliť presvedčivé, no sfalšované analógové a digitálne vakcinačné pasy.
Prečo je zraniteľnosť vakcinačných pasov rizikom?
Všetci vieme, že neexistuje nič také ako dokonalá mobilná aplikácia. Vo veľa prípadoch je chyba len nepríjemnosťou. Avšak pri aplikáciách, ktoré ukladajú citlivé údaje – ako vakcinačný pas – sa zraniteľnosť stáva prioritou.
Korešpondentka New York Times, Ceylan Yeğinsu, píše, že hlavným problémom je, že pas je vládou vydaný dokument na overovanie osobných údajov. Takže „mnohí ľudia sa obávajú […] odovzdania osobných a citlivých zdravotných informácií, ktoré môžu správcovia údajov ľahko zneužiť.“ A na rozdiel od zdravotníckych zariadení, kde zákony striktne regulujú, ako sa s takýmito informáciami musí narábať, podniky mimo zdravotníctva môžu s našimi zdravotnými údajmi robiť prakticky čokoľvek.
Výrobca antivírusových riešení Panda Security uskutočnil nereprezentatívny prieskum týkajúci sa vakcinačných pasov. Ukázalo sa, že 56 % ľudí sa obáva o bezpečnosť svojich údajov. Žiaľ, majú všetky dôvody báť sa krádeže dát. V počiatočných fázach pandémie COVID-19 utrpeli štyri americké štáty kybernetické útoky zamerané na žiadateľov o dávky v nezamestnanosti.
Digitálne COVID certifikáty by mali byť od začiatku nepriestrelné. Tieto aplikácie však museli byť vyvinuté rýchlo, aby sa cestovné a spoločenské obmedzenia mohli zrušiť čo najskôr. Výsledkom boli chyby rôzneho stupňa závažnosti.
Príklady známych zraniteľností digitálnych vakcinačných pasov
NYC Safe: Jedna fotografia, ktorá ich všetkých oklame
Je ťažké zistiť z vytlačeného vakcinačného pasu, či je falošný, nieto ešte z fotografie dokumentu. Presne taký bol prípad aplikácie NYC Safe v New Yorku. Ostro kritizovaná za to, že je v podstate iba úložiskom fotografií papierových COVID pasov, aplikácia umožňovala používateľom nahrať akýkoľvek dokument – legitímny alebo sfalšovaný. Slabina systému sa ukázala naplno v momente, keď aplikácia akceptovala fotografiu Mickeyho Mousa ako dôkaz o očkovaní.
NYC Excelsior Pass Wallet: Falošné poverenia
Známy prípad tohto amerického digitálneho vakcinačného pasu pre obyvateľov štátu New York poukázal na iný typ rizika. Ako zistila skupina NCC Group, aplikácia NYC Excelsior Pass Wallet umožňovala jednotlivcom vytvoriť a uložiť si falošné vakcinačné poverenia jednoducho naskenovaním podvodného dokumentu. Používatelia mohli ľahko zneužiť skutočnosť, že COVID certifikát nebol správne overovaný.
Austrália – Express Plus Medicare: Replikovanie animovaného validátora
Desať minút. Presne to stačilo Richardovi Nelsonovi, softvérovému inžinierovi zo Sydney, aby odhalil zraniteľnosť austrálskej aplikácie Express Plus Medicare COVID-19. Takisto dokázal, prečo sú QR kódy pre vakcinačné pasy nevyhnutnosťou. Hlavný problém austrálskeho COVID certifikátu spočíva v tom, že okrem základných údajov obsahuje aj údajne jedinečnú animáciu na preukázanie platnosti pasu. Nelson túto animáciu ľahko replikoval, čo mu umožnilo vytvoriť ľubovoľné množstvo falošných digitálnych vakcinačných pasov.
VaxiCode Verif v Québecu: Falošné digitálne podpisy
Rovnako ako mnohé aplikácie COVID certifikátov používané po celom svete, aj digitálny vakcinačný pas vydaný kanadskou provinciou Québec používa QR kódy obsahujúce potrebné údaje o očkovaní v kombinácii s digitálnymi podpismi. Digitálny podpis využíva asymetrickú kryptografiu s použitím dvoch kľúčov. Teoreticky to zaručuje, že validačná aplikácia nerozozná falošné poverenia ako legitímne.
Napriek tomu sa jednému odborníkovi na kybernetickú bezpečnosť podarilo pomerne jednoducho oklamať VaxiCode Verif. Vygeneroval si pár kľúčov a sprístupnil verejný kľúč na určitej webovej stránke. Potom vytvoril dva QR kódy. Jeden predstieral platný digitálny vakcinačný pas obsahujúci verejný kľúč a obyčajný falošný COVID certifikát. Následne aplikácii predložil QR kód s verejným kľúčom. Aplikácia ho síce správne odmietla ako platný COVID certifikát, ale zároveň si násilne stiahla verejný kľúč. Po tom aplikácia overila druhý falošný digitálny vakcinačný pas ako platný.
Treba dodať, že vývojári aplikácie reagovali rýchlo. Krátko po incidente vydali novú verziu, ktorá problém odstránila.
Digitálny COVID certifikát EÚ: Očkovanie mŕtvych
Pokiaľ ide o európsky vakcinačný pas, nazývaný digitálny COVID certifikát EÚ, odborníci ho zvyčajne chvália za implementáciu prísnych pravidiel GDPR, najmä zo zahraničia. V skutočnosti umožnenie členským štátom EÚ vyvinúť vlastné verzie COVID certifikátu bolo riziko, ktoré sa nakoniec vyplatilo. To však neznamená, že sa neobjavili žiadne chyby.
Tim Berghoff zo spoločnosti GData, nemeckej firmy zaoberajúcej sa počítačovou bezpečnosťou, poukázal na viacero problémov v nemeckej verzii certifikátu EÚ. Uvedieme dva:
- V prípade papierových COVID certifikátov vydaných lekárňou alebo ambulanciou sa neoverovala presnosť údajov prenesených do aplikácie. Kyberbezpečnostní odborníci dokázali validovať európsky vakcinačný pas aj napriek tomu, že uvádzal rovnaký dátum pre prvú aj druhú dávku očkovania.
- Berghoff a jeho tím dokázali vytvoriť vakcinačný pas pre Roberta Kocha, nemeckého mikrobiológa z 19. storočia. Digitálny COVID certifikát EÚ nemal žiaden problém validovať očkovanie dávno zosnulého človeka.
Sú papierové vakcinačné pasy riešením?
Ani nie. Zdá sa, že je logickým krokom zabudnúť na digitálne vakcinačné pasy a nosiť si certifikáty o očkovaní vo vrecku.
Rovnako ako ich digitálne náprotivky, aj papierové certifikáty boli vydávané v zhone. To viedlo k tomu, že analógové vakcinačné pasy sa dali veľmi jednoducho falšovať. V USA vydalo Centrum pre kontrolu a prevenciu chorôb (CDC) certifikát s údajmi napísanými perom. Nie je prekvapením, že podvodníci využili situáciu a zaplavili čierny trh falošnými vakcinačnými pasmi.
V dôsledku toho sa tieto falošné certifikáty mohli rýchlo dostať do COVID aplikácií s minimálnymi alebo žiadnymi funkciami na overenie ich pravosti. To umožňuje neočkovaným osobám vstupovať na miesta, kde je vyžadované očkovanie.
Overovanie stavu očkovania
Chyby a problémy aplikácií sa vždy skôr či neskôr objavia a odstránia. Presne to sa stalo v prípade aplikácií v Québecu a štáte New York. Okrem toho sú virtuálne COVID certifikáty – aspoň tie implementujúce digitálne podpisy – stále odolnejšie voči falšovaniu ako ich papierové verzie. Tí, ktorí dôverujú viac analógovým vakcinačným pasom, by si ich v každom prípade mali uložiť na bezpečné miesto.
Ak ste súčasťou firmy a musíte overovať platnosť digitálnych vakcinačných certifikátov, mali by ste zvážiť dve veci. Najprv skontrolujte a znova skontrolujte dokument, ktorý máte pred sebou. Hoci niektoré národné a medzinárodné vakcinačné pasy neobsahujú pokročilé bezpečnostné riešenia, ako je digitálny podpis, sú v menšine. Počet štátov, ktoré vyžadujú vakcinačné pasy, rastie. Mnohé z nich pravdepodobne neakceptujú zraniteľné certifikáty ako platné cestovné dokumenty.
Jedným zo spôsobov, ako overiť, že jednotlivec nepredkladá falošný COVID certifikát, je krížová kontrola s iným identifikačným dokumentom. Pokročilý automatizovaný čítač dokladov, ako je Osmond, dokáže overiť pravosť cestovného pasu a zároveň získať prakticky všetky údaje z cestovných pasov pomocou technológie optického rozpoznávania znakov, vrátane mena cestujúceho, krajiny pôvodu a mnohých ďalších.
Máte otázky alebo dopyty? Sme tu, aby sme vás podporili na každom kroku:
