Se han descubierto una serie de infracciones de seguridad graves en la aplicación de seguimiento de contactos que el NHS está probando actualmente para detener la propagación de Covid-19.
Un equipo de investigadores experimentados en seguridad ha descubierto varios problemas que pueden afectar la privacidad del usuario e incluso sabotear la aplicación en sí.
La aplicación se está probando actualmente en la Isla de Wight antes de su posible despliegue nacional, y el gobierno británico la ha promocionado como un arma clave para ayudar a detener la epidemia.
แอพพลุกพล่าน coronavirus
El equipo detrás del informe estaba compuesto por un investigador independiente y orador, el Dr. Chris Culnane y Vanessa Teague, CEO de Thinking Cybersecurity.
Entre los "diversos" problemas descubiertos por la pareja, hubo varias debilidades en el proceso de registro que podrían permitir a los atacantes robar claves de cifrado.
Esto podría permitir a los intrusos evitar que los usuarios sean notificados si uno de sus contactos dio positivo por Covid-19, o incluso podría enviar alertas falsas.
También se ha descubierto que la aplicación almacena datos no encriptados en teléfonos que pueden ser utilizados por la policía para determinar cuándo se reúnen dos o más personas.
El equipo también descubrió que la aplicación generaba un nuevo código de identificación aleatorio para los usuarios una vez al día, a diferencia de una aplicación rival desarrollada por Apple y Google que generaba un nuevo código cada 15 minutos para mayor seguridad.
La aplicación de Apple y Google parece funcionar en dispositivos Android e iOS que usan señales Bluetooth de baja potencia para crear un mapa de las personas con las que un usuario ha estado en contacto.
Teague y Culnane recomiendan que el NHS pase del enfoque "centralizado" que usa actualmente, donde se comparten los datos y se rastrea los contactos en un sistema de servidor central, a un enfoque "descentralizado", donde se produce la correspondencia dispositivos de usuario.
"Siempre puede haber errores y agujeros de seguridad en los modelos descentralizados o centralizados", señaló Teague.
"Pero la gran diferencia es que una solución descentralizada no tendría un servidor central con los recientes contactos cara a cara de cada persona infectada".
"Por lo tanto, existe un riesgo mucho menor de que esta base de datos se filtre o se use incorrectamente".
เตือนภัย
El equipo dijo que había compartido sus hallazgos con el Centro Nacional de Seguridad Cibernética (NCSC), que a su vez le dijo a la BBC que ya estaba al tanto de la mayoría de los problemas planteados y estaba en proceso de tratando de resolverlos
"Siempre se esperaba que medidas como publicar el código y explicar las decisiones detrás de la aplicación generarían discusiones constructivas con la comunidad de seguridad y privacidad", dijo un portavoz de NCSC en un comunicado. .
"Esperamos continuar trabajando con investigadores de seguridad y criptografía para hacer que la aplicación sea lo mejor posible".
"Esta aplicación nunca iba a ser perfecta desde el principio, pero es refrescante escuchar que el gobierno está escuchando investigaciones independientes y aceptando sugerencias con futuras revisiones", dijo Jake Moore, especialista en ciberseguridad de ESET.
"Al igual que con muchas aplicaciones, la primera versión rara vez es útil, pero está disponible en los teléfonos de los usuarios, donde pueden implementar fácilmente nuevas versiones.
"Una vez que la mayoría de las personas tenga la aplicación, sus intenciones claramente tendrán mejores efectos. Sin embargo, el mayor problema es la evidente falta de legislación que proteja estos datos. Sin saber si los datos podrían utilizarse y cómo podrían usarse para ellos". el futuro, o incluso si se eliminará, es importante para los usuarios. Es esencial que la privacidad del público esté en el corazón. De lo contrario, el público puede darle la espalda a la aplicación antes que tuvo tiempo de desplegarse en la cantidad correcta de personas y entrar en algún tipo de efecto ".
Vía BBC