澳洲广播公司报道称,Medicare App被曝存在“明显的”安全漏洞。通过这款免费的应用程序,10分钟之内就可以伪造出一份近乎完美的疫苗接种电子证明。
悉尼软件工程师Richard Nelson发现,Express Plus Medicare应用程序中存在一个“明显的”安全漏洞。
利用这个漏洞,他可以伪造数字接种证书,接种者姓名以及接种日期随便改。伪造的证书还带有旨在防伪的背景动画。
总理莫里森此前曾表示,这些证书是各州执行豁免政策时的一种“可靠且有效的”方式。
联邦以及州政府计划给与接种疫苗者更多的自由,但是这一漏洞可能会令这一计划 受到影响。
(图片来源:ABC/摄影师:Services Australia)
上周的一天晚上,Nelson在使用Express Plus Medicare应用程序时发现,软件中当前使用的系统(两个多月前推出)存在安全漏洞。 “这是一个非常常见的漏洞。我认为肯定会有某种手段来阻止这种攻击,但并没有。”
有安全专家证实,这是一种“明显的”漏洞,在对软件进行基本的安全评估时就应该能被发现。 为了证明伪造数字接种证书有多么的容易,Nelson用了10分钟的时间制作了一张带有自己姓名的伪造证书。
“我觉得在反疫苗人群中传播这个消息可不是个好主意。没有有效接种证书的人可 以很容易地出示一份伪造证书,内容随便填,”Nelson说道。
*安全漏洞会被修复吗?*
Nelson向政府报告了自己发现的安全漏洞,但尚未收到任何回复。 负责数据和数字政策的就业部长Stuart Robert的发言人表示,政府已经“多次更新了疫苗接种证书。政府将继续更新……包括更新更多的安全措施。”
从这份回应来看,目前尚不清楚政府是否会修补这个漏洞(这需要更新Medicare应用程序)。
*基本的安全评估就能发现漏洞*
澳洲广播公司报道称,此次被曝出的安全漏洞与议员Rex Patrick本月早些时候发现的另外一个漏洞有所不同。 此前,Patrick利用“几个图形工具”就伪造了PDF格式的接种证书。
Rex Patrick(图片来源:ABC/摄影师:Matthew Doran)
不过,从Nelson贴出的视频中可以看到,他发现的伪造出来的证书更复杂些,还包含一些防伪特征。
Nelson表示,安全审计中“绝对”提出过这个的漏洞,要么就是没有进行安全审计。 这已经不是经验丰富的软件开发人员Nelson第一次在政府的IT系统中发现漏洞。
去年,他就与其它一些行业人士发现COVIDSafe应用存在一些问题。比如,无法在苹果手机锁屏后正常运行。
科技界的另一位知名成员、数据安全专家Vanessa Teague表示,在COVIDSafe程序 出现问题后,Medicare应用程序被曝漏洞并不令人意外。 “哦,是的,修复那个漏洞很容易,只要5分钟,”Teague说道。
*“接种证书需要二维码数字签名”*
Teague还说,疫苗接种证书还存在一个更大的安全问题。 其他一些设计,例如欧盟使用的设计,具有二维码形式的数字签名,可以验证真伪,防止欺诈。这样的证书更难被伪造。
欧盟版数字接种证书(图片来源:ABC/摄影师: Artur Widak)
“他们必须实施一些类似于欧盟的设计。必须要有一些加密方式来验证接种证书上的信息是否正确。”
莫里森已表示,将在10月对疫苗数字接种证书进行全面改革。不过,尚不清楚新版本是否仅用于国际旅行,或者是否会与现有版本的疫苗证书共同使用。
7月初,负责实施各种数字健康计划的法定机构澳洲数字卫生署(Australian Digital Health Agency)发布了一份有关用于存储数字疫苗接种证书以及COVID- 19检测结果的手机应用程序招标书。
拟议的移动应用程序将“在2021年12月之前”准备就绪,并具有“多重身份验证和反欺诈功能”。
发布者:afndaily,转载请注明出处:www.afndaily.com
