Virus Corona: kelemahan keamanan di aplikasi pelacakan kontak NHS

By | May 19, 2020

Wanita di telepon

Hak cipta gambar
Gambar kecil

Berbagai kekurangan keamanan telah ditemukan di Aplikasi Pelacakan Kontak Virus Corona yang sedang diuji oleh Isle of Wight.

Peneliti keamanan terkait memperingatkan bahwa masalah tersebut dapat menimbulkan bahaya bagi privasi pengguna dan dapat disalahgunakan untuk mencegah pengiriman peringatan infeksi.

National Cyber ​​Security Center (NCSC) GCHQ mengakui masalah ini dan berjanji untuk memperbaiki beberapa dan meninjau yang lain.

Namun, para peneliti menyarankan bahwa persediaan yang lebih mendasar diperlukan.

Secara khusus, mereka memerlukan perlindungan hukum baru untuk mengidentifikasi orang yang berisiko terinfeksi atau untuk mencegah penggunaan data untuk tujuan selain dari yang ditahan tanpa batas waktu.

Selain itu, NHS menyarankan Anda mempertimbangkan transisi dari model "terpusat" saat ini di mana pencocokan kontak terjadi pada server komputer ke versi "terdistribusi" yang cocok dengan telepon orang.

Vanessa Teague, Kepala Eksekutif Thinking Cybersecurity, mengatakan, “Mungkin masih ada bug dan kerentanan keamanan dalam model terdistribusi atau terpusat.

Perbedaan utama, bagaimanapun, adalah bahwa solusi terdistribusi tidak memiliki server pusat dengan kontak tatap muka baru-baru ini dari semua orang yang terinfeksi.

"Ada risiko yang jauh lebih rendah bahwa database akan bocor atau disalahgunakan."

Menteri Kesehatan Matt Hancock mengatakan pada hari Senin bahwa "undang-undang baru tidak diperlukan karena undang-undang perlindungan data melakukan pekerjaan."

Selain itu, NHSX, departemen inovasi digital layanan kesehatan, menggunakan model terpusat tidak hanya membuatnya lebih mudah untuk meningkatkan aplikasi dari waktu ke waktu, tetapi juga memicu peringatan berdasarkan pada gejala yang didiagnosis sendiri oleh orang-orang, bukan hasil tes medis. Dia bilang dia bisa.

Pemutaran media tidak didukung pada perangkat

Keterangan mediaPengawasan: Apa itu pelacakan kontak dan bagaimana cara kerjanya?

Berbagai risiko

Peneliti merinci tujuh masalah yang ditemukan di aplikasi.

Mereka termasuk:

  • Ini adalah kelemahan dalam proses pendaftaran di mana penyerang dapat mencuri kunci enkripsi, yang dapat menghasilkan transmisi palsu untuk mencegah pengguna memberitahukan mereka jika mereka telah diuji secara positif untuk Covid-19 atau untuk membuat log peristiwa kontak palsu.
  • Simpan data yang tidak terenkripsi pada handset yang berpotensi digunakan penegak hukum untuk bertemu lebih dari satu orang
  • Menghasilkan kode ID acak baru untuk pengguna sekali sehari, tidak setiap 15 menit sekali, seperti dalam kasus model saingan yang dikembangkan oleh Google dan Apple. Secara teoritis, Anda dapat menentukan apakah pengguna selingkuh dengan rekan kerja atau melihat seseorang setelah bekerja.

"Risiko keseluruhan bervariasi," kata Chris Culnane, penulis kedua laporan itu, di BBC News.

"Risiko ini cukup rendah karena kita perlu menyerang server yang terlindungi dengan baik sehubungan dengan masalah pendaftaran. Kami tidak berpikir begitu.

"Tetapi seseorang berisiko lebih tinggi untuk data yang tidak dienkripsi, karena jika seseorang dapat mengakses telepon Anda, informasi yang disimpan dapat membantu Anda mempelajari lebih lanjut."

Direktur Teknis NCSC Ian Levy berjanji pada dua peneliti untuk berterima kasih kepada mereka atas pekerjaan mereka dan untuk memecahkan masalah yang mereka identifikasi.

Namun, ia mengatakan aplikasi itu bisa dirilis beberapa kali sebelum semua masalah diselesaikan.

"Semua yang dilaporkan kepada tim akan diklasifikasikan dengan benar. (Ini membutuhkan waktu lebih lama dari biasanya)," tulisnya.

Seorang juru bicara NCSC mengatakan, "Kami berharap bahwa tindakan seperti merilis kode dan menjelaskan keputusan aplikasi akan memiliki diskusi yang bermakna dengan komunitas keamanan dan privasi.

"Kami berharap dapat terus bekerja dengan peneliti keamanan dan crypto untuk membuat aplikasi yang terbaik."

Hak cipta gambar
Gambar kecil

Keterangan gambar

Warga Isle of Wight sedang menguji aplikasi NHS Covid-19 sebelum jadwal rilis negara tersebut.

Namun, Dr. Culnane mengatakan bahwa politisi harus meninjau kembali masalah ini.

"Saya yakin mereka akan memecahkan masalah teknis," katanya.

"Tetapi ada masalah yang lebih luas sehubungan dengan tidak adanya undang-undang (termasuk fakta) yang melindungi penggunaan data ini. Tidak ada batasan kapan data perlu dihapus.

"Ini berbeda dengan Australia, yang memiliki batasan sangat ketat pada penghapusan data aplikasi pada akhir krisis."

Sementara itu, ketua Komite Hak Asasi Manusia Parlemen Harriet Harman memperkenalkan undang-undang anggota individu untuk membatasi bagaimana aplikasi dapat menggunakan data yang dikumpulkan dan membuat anjing penjaga untuk menangani keluhan terkait dari orang-orang dan masyarakat. Diumumkan bahwa Anda sedang mencari hak untuk melakukan.

"Saya pribadi akan mengunduh aplikasi itu secara pribadi, bahkan jika saya khawatir tentang data apa yang akan digunakan," kata MP Tenaga Kerja kepada BBC News.

"Tetapi dalam pandangan komite saya (ini tidak boleh dilakukan kecuali pemerintah mau menegakkan privasi)"

Leave a Reply

Your email address will not be published. Required fields are marked *