Graves deficiências de segurança no certificado digital de vacinação. Os especialistas em segurança da G DATA analisam de perto o cartão de vacinação Covid-19 para smartphones.
Uma investigação dos especialistas em segurança da G DATA sobre o certificado digital de vacinação mostrou que existem algumas omissões graves na implementação da segurança. Se desejar, você pode criar certificados de vacinação sem ter recebido uma vacinação.
A lista de problemas de segurança é longa
Uma análise mais detalhada dos principais componentes do registro de vacinação recentemente disponível mostra que ele tem algumas deficiências gritantes. A lista de problemas de segurança é longa: o Corona-Warn-App não verifica as assinaturas dos certificados digitais de vacinação, para que qualquer pessoa possa criar um certificado que pareça real à primeira vista. No entanto, ainda existem problemas conceituais muito maiores: dados relevantes do certificado de vacinação amarelo ou passaporte, por exemplo, o número do lote da vacina, não são verificados quando são criados nem incluídos nos certificados digitais de vacinação. Isso impossibilita uma verificação posterior. O acesso às farmácias para emissão de certificados de vacinação também é inseguro, e os certificados de vacinação emitidos não podem ser revogados em caso de uso indevido. Não é o básico técnico que falta, mas a implementação.
“A impressão é que a introdução do certificado digital de vacinação foi, antes de tudo, uma decisão precipitada. Ser capaz de apresentar uma solução rápida antes do início da temporada de férias era obviamente mais importante do que uma solução segura desde o início”, explica Thomas Siebert, chefe de tecnologias de proteção da G DATA CyberDefense.
Tiro rápido antes da temporada de férias
Farmácias, consultórios médicos e centros de vacinação criam os certificados de vacinação com a ajuda de um site. O acesso a este portal é garantido apenas com um nome de usuário e senha, não há autenticação multifator. Programas maliciosos especializados em roubar dados de acesso fazem parte do repertório padrão de criminosos cibernéticos há anos. Os fraudadores que se apropriam ilegalmente dos dados cadastrais de uma farmácia, por exemplo, podem teoricamente usar o portal para criar um certificado de vacinação após o outro.
Os certificados de vacinação também podem ser integrados ao Corona-Warn-App (CWA) do Instituto Robert Koch para poder mostrá-los em um smartphone. No entanto, o aplicativo não verifica se a assinatura eletrônica do comprovante digitalizado é válida. Com algumas linhas de código do programa, é possível criar um código QR com um certificado de vacinação fantasia que é facilmente aceito pelo Corona-Warn-App e resiste facilmente a uma inspeção visual. Uma verificação real do certificado de vacinação só é possível com o aplicativo CovCheck.
Mais em GData.de
Sobre o G Data Com serviços abrangentes de defesa cibernética, o inventor do AntiVirus permite que as empresas se defendam contra crimes cibernéticos. Mais de 500 colaboradores garantem a segurança digital de empresas e usuários. Fabricado na Alemanha: Com mais de 30 anos de experiência em análise de malware, a G DATA realiza pesquisas e desenvolvimento de software exclusivamente na Alemanha. As mais altas demandas de proteção de dados são a principal prioridade. Em 2011, a G DATA emitiu uma garantia "no backdoor" com o selo de confiança "IT Security Made in Germany" da TeleTrust eV. A G DATA oferece um portfólio de proteção antivírus e endpoint, testes de penetração e resposta a incidentes para análises forenses, verificações de status de segurança e treinamento de conscientização cibernética para defender as empresas com eficiência. Novas tecnologias como DeepRay protegem contra malware com inteligência artificial. Serviço e suporte fazem parte do campus da G DATA em Bochum. As soluções G DATA estão disponíveis em 90 países e receberam inúmeros prêmios.