O vulnerabilitate din aplicația de tracking obligatorie în Qatar expune pericolelor datele utilizatorilor. Autoritățile au remediat vulnerabilitatea din aplicația obligatorie.
Aplicațiile de tracking au potențialul de a încetini răspândirea COVID-19. Însă fără garanții de securitate adecvate, unii se tem că ar putea pune în pericol datele utilizatorilor și informațiile sensibile. Până acum, acea amenințare a fost pur teoretică.
Amnesty International raportează o vulnerabilitate în aplicația de tracking a contactelor din Qatar. Aceasta a pus informațiile personale a expus pericolelor mai mult de un milion de persoane.
Vulnerabilitatea, acum remediată, a făcut ca informațiile, precum numele, ID-urile, starea de sănătate și datele locației să fie vulnerabile la atacuri cibernetice. Laboratorul de securitate al Amnisty a descoperit vulnerabilitatea pe 21 mai și spune că autoritățile au soluționat-o pe 22 mai.
Vulnerabilitatea a avut legătură cu codurile QR care includeau informații sensibile. Actualizarea a eliminat o parte din acele date de la codurile QR și a adăugat un nou layer de autentificare pentru a preveni atacurile.
Aplicația de tracking obligatorie, numită EHTERAZ, folosește GPS și Bluetooth
Săptămâna trecută, autoritățile au făcut aplicația obligatorie. Potrivit Amnesty, persoanele care nu folosesc aplicația s-ar putea confrunta cu până la trei ani de închisoare și o amendă de 200.000 de QR (aproximativ 55.000 de dolari).
„Acest incident ar trebui să fie un avertisment către guvernele din întreaga lume care încearcă să grăbească aplicațiile de tracking a contactelor, care sunt adesea prost concepute și care nu au garanții de confidențialitate.
Dacă tehnologia va juca un rol eficient în combaterea virusului, oamenii trebuie să aibă încredere că aplicațiile de urmărire a contactelor le vor proteja confidențialitatea și alte drepturi ale omului.”, a declarat Claudio Guarnieri, șeful Laboratorului de Securitate al Amnesty International.
Pentru ca aplicațiile de tracking a contactelor precum EHTERAZ să funcționeze, acestea trebuie să fie adoptate pe scară largă. Amnesty spune că obligativitatea aplicațiilor nu este o abordare corectă. Astfel de erori de securitate ar putea descuraja oamenii să folosească aplicațiile și să submineze eforturile de a încetini răspândirea virusului.
Greșeala Qatar poate încuraja mai multe țări să adopte modelul Apple-Google. API-ul „descentralizat” stochează informații sensibile în telefoanele utilizatorilor, în loc de un server centralizat. Utilizează Bluetooth pentru a schimba chei și nu adună date despre locație.
În timp ce, API-ul Apple-Google nu poate identifica utilizatorii, este posibil ca aplicațiile care utilizează API să poată. Așadar, politicile de securitate și confidențialitate ar trebui să fie examinate pe baza aplicației. Să sperăm că astfel de incidente vor fi rare.
