În timpul pandemiei, mulți au trebuit să arate că sunt vaccinați – adesea cu pașapoarte digitale pentru vaccinuri. Symantec, divizie a Broadcom Software, a testat 40 de aplicații digitale pentru crearea pașapoartelor de vaccinare și 10 aplicații de validare.
„Pașapoartele” conțin cel puțin numele, data nașterii și starea vaccinului, iar expuse, pot fi folosite de hackeri pentru phishing direcționat.
Un alt risc, probabil mai mare și potențial mai grav, este valabilitatea și acuratețea pașaportului pentru vaccin. Contrafacerea sau modificarea rezultatelor poate duce și la sancțiuni penale. Prin urmare, tehnologia de identificare trebuie să identifice în mod sigur și precis valabilitatea acestora și să se asigure că rezultatele nu au fost modificate.
Pașapoartele sunt, de obicei, stocate pe dispozitivul mobil într-un unui portofel digital, care poate fi atacat fie printr-un atac de rețea, fie printr-o aplicație rău intenționată – în funcție de securitatea sa.
Symantec s-a concentrat pe aplicațiile mobile pentru stocarea dosarelor de vaccinare disponibile public.
Portofelele care stochează date în cloud pot expune înregistrările utilizatorului prin includerea acreditărilor cloud hardcoded în interiorul aplicației. Datele pot fi expuse și dacă aplicația portofel digital transferă datele, din cloud, necriptate sau nesigure.
În plus, pot fi expuse dacă utilizatorul le partajează fără să vrea altor aplicații de pe dispozitiv sau dacă sunt stocate în mod nesigur pe dispozitiv.
Pe baza acestor scenarii, s-au analizat aplicații cu comportamente riscante, ca:
• Accesează stocare externă
• Dezactivează autorității de certificare (CA) SSL
• Nu cere HTTPS
• Trimite datele necriptate
• Utilizează acreditări cloud hardcoded
Dintre cele 40 de aplicații portofel analizate, 27 au prezentat cel puțin unul dintre aceste comportamente riscante.
Pentru a verifica dacă un pașaport de vaccin este legitim, există aplicații de validare care decodifică datele din codul QR și semnalează dacă fișa de vaccinare a fost modificată.
În înregistrarea din QR este o semnătură care poate fi folosită pentru a verifica dacă înregistrarea este de la emitent și nu a fost manipulată. Tot în codul QR este și linkul către cheia publică folosită pentru a semna înregistrarea, care este apoi folosită pentru validarea semnăturii. Aici, s-au analizat aceleași comportamente riscante enumerate anterior în șapte aplicații de validare disponibile, iar toate s-au dovedit sigure.
În concluzie, trebuie acordată mare atenție aplicațiilor care pretind că protejează confidențialitatea și identitatea, inclusiv portofelelor digitale pentru pașapoarte. Acestea trebuie să primească permisiunea doar pentru datele private de care au nevoie, nimic mai mult. Ori de câte ori este posibil, aplicațiile terțe parte care pretind că stochează în siguranță dosarele de vaccinare trebuie evitate și, în schimb, utilizate soluții de portofel digital oferite de principalele platforme mobile, ca Apple Health și Google Wallet.
Dezvoltatorii de aplicații ar trebui să colecteze și să acceseze numai datele necesare pentru a furniza serviciul utilizatorului. De asemenea, dezvoltatorii ar trebui să înțeleagă și să implementeze cele mai bune practici de securitate care protejează datele private ale utilizatorilor în cloud, în tranzit și pe dispozitiv. Orice altceva poate compromite confidențialitatea utilizatorilor dvs., poate expune datele medicale personale și poate submina în întregime legitimitatea dosarelor lor de vaccinare.
Symantec este una din marile firme de securitate din lume ale cărei produse sunt distribuite în România de compania SolvIT Networks.
