| 20 мая 2020 г. — 5:29 утра по тихоокеанскому времени
Анализ исходного кода британского приложения для отслеживания контактов выявил не менее семи уязвимостей в системе безопасности.
Одна из них заключается в том, что случайный код, присвоенный пользователям, меняется только один раз в день, что значительно упрощает деанонимизацию отдельных лиц…
Это контрастирует с API Apple/Google, который присваивает новый случайный код каждые 15 минут.
Британское правительство уступило давлению со стороны защитников конфиденциальности и сделало исходный код доступным, чтобы можно было независимо проверить заявления о мерах безопасности. Два специалиста по кибербезопасности завершили обзор кода, и их отчет освещает то, что они описывают как «серьезные» уязвимости в системе безопасности.
В этом отчете мы показываем следующее.
- В присутствии недоверенного TLS-сервера процесс регистрации должным образом не гарантирует ни целостность общедоступного ключа autoridades, ни конфиденциальность общих секретов, установленных при регистрации. В результате полностью подрываются основные цели безопасности протокола, включая его конфиденциальность и устойчивость к спуфингу и манипуляциям.
- В присутствии недоверенного TLS-сервера хранение и передача незашифрованных журналов взаимодействий облегчают восстановление InstallationIDs без доступа к закрытому ключу autoridades.
- Долгоживущие BroadcastValues подрывают предусмотренные BLE меры защиты конфиденциальности и могут раскрыть дополнительные сведения об образе жизни пользователя, который отправляет свои данные.
- Мониторинг взаимодействий с интервалом в 8 секунд может создавать уникальные сигнатуры взаимодействий, которые могут быть использованы для попарного сопоставления взаимодействий устройств, а в сочетании с незашифрованной передачей — позволить восстановить InstallationID из BroadcastValue без доступа к закрытому ключу autoridades.
- Использование детерминированного счетчика для запуска обновлений KeepAlive рискует создать идентификатор, который может быть использован для связи BroadcastValues в течение нескольких дней.
Business Insider описывает последствия менее техническим языком.
Уязвимости включают одну, которая может позволить хакерам перехватывать уведомления и либо блокировать их, либо отправлять поддельные, сообщающие людям, что они контактировали с кем-то, переносящим COVID-19 […]
Исследователь конфиденциальности Сэмюэл Вудхэмс сказал Business Insider, что отчет показывает, что решение Великобритании создать централизованное приложение требует «существенного переосмысления».
«Как показывает отчет, текущий подход значительно увеличивает риск утечки или манипулирования конфиденциальными данными, собираемыми приложением. Поскольку случайный код генерируется только один раз в день, риск идентификации человека значительно возрастает. Это может иметь серьезные последствия для конфиденциальности пользователей и привести к серьезным последствиям в реальном мире», — сказал Вудхэмс.
Британское приложение для отслеживания контактов в настоящее время проходит испытания на острове Уайт. Охват населения достиг более 50%, что является впечатляющим результатом, но все же значительно ниже 80% охвата, который, по словам эпидемиологов, необходим.
Команда оценивает, что для остановки вспышки коронавируса необходимо, чтобы приложение использовали 56% населения в целом. Профессор Фрейзер сказал, что, по данным Ofcom, это эквивалентно 80% всех владельцев смартфонов.
Великобритания в настоящее время рассматривает возможность переосмысления, которое приведет к тому, что приложение будет использовать API Apple/Google, имеющий восемь гарантий конфиденциальности.