Výzkumný tým společnosti Check Point upozornil na rizika spojená s aplikacemi pro trasování kontaktů, které používají vlády v rámci tzv. chytré karantény pro sledování šíření koronavirové nákazy. Mezi možná rizika patří sledování zařízení, únik osobních údajů, zachycení provozu aplikací a falešné zdravotnické reporty.
Specialisté společnosti Check Point postupně analyzuje aplikace pro trasování kontaktů v řadě evropských i mimoevropských zemí. Po úvodním prozkoumání vyjádřili bezpečnostní experti řadu obav. Výzkumný tým zmínil čtyři problematické oblasti:
1. Zařízení lze sledovat. Protože některé aplikace pro trasování kontaktů spoléhají na BLE (Bluetooth Low Energy), zařízení vysílají handshake pakety, které usnadňují identifikaci kontaktu s jinými zařízeními. Pokud vše není implementováno správně, mohou hackeři sledovat zařízení pomocí kontaktu mezi zařízeními a příslušných identifikačních paketů.
2. Ohrožení osobních údajů. Některé aplikace ukládají informace o kontaktu s jinými uživateli, šifrovací klíče a další citlivá data do zařízení. Citlivá data by měla být šifrována a uložena v sandboxu a ne na sdílených místech. Dokonce i v sandboxu by v případě získání root oprávnění nebo fyzického přístupu k zařízení mohla být data ohrožena, a to zejména v případě, že jsou uloženy takové citlivé informace, jako je GPS poloha.
3. Zachycení provozu aplikace. Pokud veškerá komunikace aplikace se serverem není řádně šifrována, mohou uživatelé čelit „man-in-the-middle“ útokům a může dojít k zachycení provozu aplikace.
4. Riziko falešných zdravotnických reportů. Výzkumný tým upozorňuje, že je důležité, aby aplikace požadovaly ověření, pokud zasílají informace na servery, například když uživatel poskytuje svou diagnózu a informace o kontaktu s jinými uživateli. Bez řádného ověření existuje možnost zahltit servery falešnými zdravotními reporty, což by ohrozilo spolehlivost celého systému.
Check Point bude aplikace pro trasování kontaktů a „chytré karantény“ i nadále zkoumat.
Je důležité dodržovat základní bezpečnostní opatření.
1. Stahujte aplikace pouze z oficiálních zdrojů. Pokud si instalujete aplikace pro trasování kontaktů, využívejte pouze oficiální obchody s aplikacemi, které nabízí podobné aplikace pouze od autorizovaných vládních agentur. Protože se kyberzločinci snaží situace zneužít, množí se různé podvodné aplikace.
2. Používejte mobilní bezpečnostní řešení. Stáhněte si a nainstalujte mobilní bezpečnostní řešení, které bude hlídat vaše aplikace, ochrání zařízení před malwarem a ověří, že zařízení už nebylo infikováno.
„Je stále ještě brzy na to jednoznačně říci, jak bezpečné nebo rizikové jsou v globálním pohledu aplikace pro trasování kontaktů. Aplikace pro trasování kontaktů musí udržovat křehkou rovnováhu mezi soukromým a zabezpečením, protože špatná implementace bezpečnostních standardů může ohrozit data uživatelů. Je potřeba si tedy klást otázky, jaká data jsou shromažďována, jak jsou ukládána a jak jsou získaná data zpracovávána,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.