มีการค้นพบการละเมิดความปลอดภัยที่ร้ายแรงหลายครั้งในแอปติดตามการติดต่อที่ NHS กำลังทดสอบเพื่อหยุดการแพร่กระจายของ Covid-19 ทีมนักวิจัยด้านความปลอดภัยที่มีประสบการณ์ได้ค้นพบปัญหาหลายประการที่อาจส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้และแม้กระทั่งการก่อวินาศกรรมแอปพลิเคชันเอง ขณะนี้แอปนี้อยู่ระหว่างการทดลองบนเกาะไวท์ก่อนการเปิดตัวในระดับชาติ และรัฐบาลอังกฤษโน้มน้าวว่าเป็นอาวุธสำคัญในการช่วยหยุดยั้งการแพร่ระบาด
แอพพลุกพล่าน coronavirus
ทีมงานที่อยู่เบื้องหลังรายงานนี้ประกอบด้วยนักวิจัยอิสระและวิทยากร ดร. Chris Culnane และ Vanessa Teague ซีอีโอของ Thinking Cybersecurity ในบรรดาปัญหา "ต่างๆ" ที่ทั้งคู่ค้นพบ มีจุดอ่อนหลายประการในกระบวนการลงทะเบียนที่อาจทำให้ผู้โจมตีขโมยคีย์เข้ารหัสได้ สิ่งนี้อาจช่วยให้ผู้บุกรุกสามารถป้องกันไม่ให้ผู้ใช้ได้รับการแจ้งเตือนหากผู้ติดต่อคนใดคนหนึ่งของพวกเขาตรวจพบเชื้อ Covid-19 ในเชิงบวก หรือแม้กระทั่งส่งการแจ้งเตือนปลอมได้ นอกจากนี้ ยังพบว่าแอปดังกล่าวจัดเก็บข้อมูลที่ไม่ได้เข้ารหัสไว้บนโทรศัพท์ ซึ่งตำรวจสามารถใช้เพื่อระบุได้ว่าเมื่อมีคนสองคนขึ้นไปมาพบกัน ทีมงานยังพบว่าแอปนี้สร้างรหัส ID แบบสุ่มใหม่สำหรับผู้ใช้วันละครั้ง ซึ่งแตกต่างจากแอปคู่แข่งที่พัฒนาโดย Apple และ Google ที่สร้างรหัสใหม่ทุกๆ 15 นาทีเพื่อเพิ่มความปลอดภัย ดูเหมือนว่าแอป Apple และ Google จะทำงานบนอุปกรณ์ Android และ iOS ที่ใช้สัญญาณบลูทูธพลังงานต่ำเพื่อสร้างแผนที่ของบุคคลที่ผู้ใช้ติดต่อด้วย Teague และ Culnane แนะนำให้ NHS ย้ายจากแนวทาง "รวมศูนย์" ที่ใช้อยู่ในปัจจุบัน ซึ่งมีการแบ่งปันข้อมูลและติดตามผู้ติดต่อบนระบบเซิร์ฟเวอร์ส่วนกลาง ไปสู่แนวทาง "กระจายอำนาจ" ซึ่งการจับคู่เกิดขึ้นระหว่างอุปกรณ์ของผู้ใช้ “อาจมีข้อบกพร่องและช่องโหว่ด้านความปลอดภัยในโมเดลแบบกระจายอำนาจหรือแบบรวมศูนย์เสมอ” Teague กล่าว “แต่ความแตกต่างที่สำคัญก็คือ โซลูชันแบบกระจายอำนาจจะไม่มีเซิร์ฟเวอร์กลางที่มีการติดต่อแบบเห็นหน้ากันล่าสุดของผู้ติดเชื้อแต่ละคน” “ดังนั้นจึงมีความเสี่ยงน้อยกว่ามากที่ฐานข้อมูลนี้จะรั่วไหลหรือนำไปใช้ในทางที่ผิด”
เตือนภัย
ทีมงานกล่าวว่าได้แบ่งปันสิ่งที่ค้นพบกับศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC) ซึ่งบอกกับ BBC ว่าได้ตระหนักถึงปัญหาส่วนใหญ่ที่เกิดขึ้นแล้ว และกำลังอยู่ในระหว่างการพยายามแก้ไข “เป็นเช่นนั้น หวังว่ามาตรการเช่นการเผยแพร่รหัสและการอธิบายการตัดสินใจเบื้องหลังแอปพลิเคชันจะสร้างการสนทนาที่สร้างสรรค์กับชุมชนความปลอดภัยและความเป็นส่วนตัว” โฆษก NCSC กล่าวในแถลงการณ์ - "เราหวังว่าจะได้ทำงานร่วมกับนักวิจัยด้านความปลอดภัยและการเข้ารหัสต่อไปเพื่อทำให้แอปนี้ดีที่สุดเท่าที่จะเป็นไปได้" "แอปนี้ไม่เคยสมบูรณ์แบบตั้งแต่เริ่มต้น แต่ก็รู้สึกสดชื่นที่ได้ยินว่ารัฐบาลกำลังรับฟังการวิจัยอิสระและยอมรับข้อเสนอแนะสำหรับการแก้ไขในอนาคต" Jake Moore ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ ESET กล่าว "เช่นเดียวกับแอปอื่นๆ เวอร์ชันแรกไม่ค่อยมีประโยชน์ แต่มีให้ใช้งานบนโทรศัพท์ของผู้ใช้ ซึ่งพวกเขาสามารถปรับใช้เวอร์ชันใหม่ได้อย่างง่ายดาย "เมื่อคนส่วนใหญ่มีแอปแล้ว ความตั้งใจของพวกเขาจะมีผลดีขึ้นอย่างชัดเจน อย่างไรก็ตาม ปัญหาใหญ่ที่สุดคือการขาดกฎหมายที่คุ้มครองข้อมูลนี้อย่างเห็นได้ชัด การไม่รู้ว่าข้อมูลจะถูกนำไปใช้สำหรับพวกเขาหรือไม่ ในอนาคต หรือแม้กระทั่งจะถูกลบออกหรือไม่ เป็นสิ่งสำคัญสำหรับผู้ใช้ ก่อนที่จะมีเวลาปรับใช้กับผู้คนในจำนวนที่เหมาะสมและทำให้เกิดผลบางอย่าง" ผ่านทางบีบีซี