Aplicația pașaport de vaccinare din Israel, bazată pe un cod QR

10:03, 25 martie 2021 | Externe, Social | 88 vizualizări | Nu există niciun comentariu Autor:

Experții în securitatea informațiilor au investigat aplicația de certificare a vaccinării împotriva coronavirusului din Israel și au descoperit că, deși este deja pusă în circulație, aceasta ar fi nesigură și chiar periculoasă, informează Haaretz.com. Iar asta, în ciuda faptului că premierul Benjamin Netanyahu, al cărui partid pare învingător la alegerile recente, făcea reclamă acestei aplicații bazate pe cod QR. Se pare că o funcționară din guvernul lui primea pe adresa personală de Gmail toate cererile pe care utilizatorii aplicației credeau că le trimit Ministerului Sănătății, fiind violată astfel confidențialitatea și protecția datelor personale.

Criptografii și experții în securitatea informațiilor care au examinat aplicația mobilă oficială a pașaportului de vaccinare israelian, un certificat validat de guvern pentru israelienii care au primit ambele doze de vaccin Covid, au identificat o serie de defecte care îi pun în pericol funcționalitatea.

Aplicația Ministerului Sănătății, numită Ramzor (semafor) în ebraică, a întâmpinat probleme serioase de când a fost lansată în urmă cu două săptămâni. Plângeri cu privire la aceasta au fost raportate atât în presă, cât și în recenziile făcute de utilizatori.

Inițial, aplicația trebuia să fie extrem de simplă și rapidă, însă produsul final, spun experții și utilizatorii, este complex și se mișcă greu, ocupând multă memorie. Mai mult, alegerea de a utiliza cod cu sursă închisă (spre deosebire de codul din sursă deschisă) și lipsa implicării specialiștilor în securitate și confidențialitate au cauzat, de asemenea, îngrijorare în rândul dezvoltatorilor. Experții în securitate și criptografii care au examinat codul aplicației au identificat o serie de probleme ce pun în cauză veridicitatea certificării că o persoană a fost vaccinată.

Cu o aplicație open-source, oricine poate examina codul original în forma în care l-au scris programatorii, înainte ca acesta să fie compilat pentru a putea rula. Dar examinarea unei aplicații cu sursă închisă, al cărei cod a fost deja compilat, este dificilă. Se pot examina comunicările către și de la aplicație, dar nu se poate descoperi tot ce se ascunde în cod, în scop bun sau în scop rău.

Cei interesați să afle cum funcționează aplicația, trebuie să o desfacă pe bucăți. Aceasta nu este soluția optimă – dar poate fi încercată, ceea ce va ajuta la descoperirea unei părți din codul de bază al programului.

Prof. Orr Dunkelman de la Universitatea din Haifa și dr. Eyal Ronen de la Universitatea din Tel Aviv, împreună cu experții în securitatea informațiilor Yuval Adam și Noam Rotem, au desfăcut în bucăți codul aplicației Ramzor cu ajutorul a două programe speciale. O parte din ce au descoperit e de natură să ne îngrijoreze și ridică serioase semne de întrebare cu privire la calitatea codului și potrivirea acestuia cu misiunea delicată pe care o are aplicația.

Cercetătorii au descoperit mai multe probleme legate de codul aplicației și de modul în care sunt verificate semnăturile din „pașaportul verde” pe care îl generează. Ei au descoperit că dezvoltatorii aplicației nu au integrat cum trebuie algoritmii criptografici în programul lor.

Ei au mai scos la iveală și faptul că procesul de verificare al codului QR pe care aplicația îl oferă pentru verificare nu se potrivește de fapt cu specificațiile inițiale pe care le-a publicat Ministerul Sănătății. Procesul a fost codificat în mod confuz, dezvoltatorii complicând inutil aplicația.

O altă problemă descoperită este utilizarea unei colecții de programe criptografice, numite SpongyCastle, care nu a mai beneficiat de mentenanță de mai bine de trei ani încoace și care, până atunci, s-a bazat pe un singur dezvoltator. Cu alte cuvinte, chiar dacă de atunci au fost descoperite mai multe breșe de securitate sau alte probleme, nimeni nu a mai actualizat aceste programe.

Dezvoltatorii aplicației au lăsat, de asemenea, parole și așa-numitele jetoane folosite la testare în codul însuși, iar acestea pot exista și în aplicația live, ceea ce poate indica un proces de dezvoltare dezorganizat. Una ar fi să descoperim așa ceva în cazul unei aplicații care evaluează magazine de bomboane, dar într-o aplicație extrem de sensibilă, care are implicații imediate și serioase pentru toți israelienii, aceasta este o problemă gravă.

O aplicație cu „scurgeri”

O altă descoperire făcută de cercetători indică posibilitatea unei scurgeri de informații. Problema se află în procesul prin care programul le permite utilizatorilor să contacteze Ministerul Sănătății prin intermediul paginii de contact din aplicație.

De fiecare dată când utilizatorii se conectează la aplicație, este trimis un e-mail către Ministerul Sănătății, procedură-standard care nu ridică probleme. Cu toate acestea, atunci când un mesaj este trimis prin pagina de contact a aplicației, un alt e-mail este generat, dar el nu va ajunge la o adresă guvernamentală de e-mail, ci la o adresă Gmail. Astfel de adrese aparțin, de regulă, unor persoane, nu unor instituții.

Acest cont de Gmail este complet privat și deservește, de asemenea, un cont de Facebook, un cont de Twitter și alte conturi. Mai mult, aceste informații despre contul de Gmail au fost obținute prin verificarea bazelor de date cu nume de utilizatori și parole scurse din diferite aplicații.

Cu alte cuvinte, parolele asociate acestei adrese au fost deja scurse. E posibil și ca aceste parole să fi fost modificate între timp și, prin urmare, să nu mai existe riscul ca cineva să penetreze acel cont de Gmail. Însă Ministerul Sănătății nu are nici o pârghie pentru a verifica acest aspect, fiind vorba despre un cont Gmail privat, neaflat deci sub supravegherea directă și imediată a statului.

Cui aparține contul de Gmail?

O anchetă a scos la iveală că această adresaă privată de e-mail aparține unei reprezentante a ministerului implicate în dezvoltarea aplicației. Din motive de dânsa știute, ea a optat să primească toate întrebările trimise prin intermediul aplicației pe adresa personală de e-mail, nu pe cea instituțională. Iar asta ridică probleme de protecție a datelor personale, dat fiind că aceste solicitări trimise de utilizatori Ministerului prin intermediul aplicației pot include informații personale și medicale ale cetățenilor israelieni.

Asta dovedește existența unor practici extrem de problematice în privința securității și confidențialității informațiilor. Toate informațiile trimise prin intermediul aplicației ar trebui să ajungă pe serverele Ministerului Sănătății, nu în contul Gmail personal al unei angajate a ministerului, pe care aceasta îl folosește și pentru a se autentifica în aplicații precum MyFitness și MyHeritage. Cu scuzele de rigoare față de romancierul Gabriel Garcia Marquez, aceasta este cronica unei scurgeri de informații anunțate.

***

Dacă în Israel suspiciunile planează asupra securității aplicației digitale care verifică vaccinarea sau testarea Covid a cetățenilor, în România ministerul Sănătății face reclamă pe facebook unei aplicații similare „propuse” – adică impuse – de Comisia Europeană. Ministerul userist de la București laudă înainte să testeze așa-zisul „pașaport verde” bazat pe codul QR „sigur și securizat” ca pe o măsură ce garantează „siguranța” cetățenilor și „facilitează” libera circulație – prin limitarea ei doar la cei „agreați” de sistem. Iar asta, în condițiile în care alt organism al U.E., APCE, condamna dur în februarie posibilitatea implementării unor pașapoarte de vaccinare care să limiteze libertatea de mișcare, una dintre principiile fundamentale ale comunității europene. Ne întoarcem la „viza Schengen”, reinventată sub forma unei „vize Vaxen”?

Iată o întrebare bună, dar nu la fel de bună ca următoarea: având în vedere că persoanele vaccinate pot dezvolta forme ale bolii Covid-19 sau pot deveni purtătoare asimptomatice ale virusului, ce garanție oferă „certificatul verde” că deținătorul lui e într-adevăr „verde” și nu „roșu”?

Sursa: https://www.activenews.ro