Серйозні недоліки безпеки в цифровому сертифікаті про вакцинацію. Експерти з безпеки G DATA уважно розглядають картку вакцинації від Covid-19 для смартфонів.
Дослідження цифрового сертифіката про вакцинацію, проведене експертами з безпеки G DATA, показало, що є деякі серйозні недоліки в реалізації безпеки. При бажанні ви можете створити сертифікати вакцинації, не отримавши щеплення.
Список проблем безпеки довгий
Уважний погляд на ключові компоненти нещодавно доступних даних про вакцинацію показує, що в них є деякі яскраві недоліки. Список проблем із безпекою довгий: програма Corona-Warn-App не перевіряє підписи цифрових сертифікатів про вакцинацію, тож кожен може створити сертифікат, який на перший погляд виглядає справжнім. Однак існують набагато більші концептуальні проблеми: відповідні дані з жовтого сертифіката вакцинації або паспорта, наприклад, номер партії вакцини, не перевіряються під час її створення та не включаються в цифрові сертифікати вакцинації. Це унеможливлює пізнішу перевірку. Доступ для аптек до створення сертифікатів про вакцинацію також є незахищеним, а видані сертифікати про вакцинацію не можуть бути відкликані у разі неправильного використання. Бракує не технічної основи, а реалізації.
«Таке враження, що запровадження цифрового сертифікату про вакцинацію було передусім поспішним рішенням. Можливість представити швидке рішення до початку святкового сезону, очевидно, була важливішою, ніж рішення, яке було безпечним із самого початку», — пояснює Томас Зіберт, керівник відділу технологій захисту G DATA CyberDefense.
Швидкий кадр перед святковим сезоном
Аптеки, медичні практики та центри вакцинації створюють сертифікати вакцинації за допомогою веб-сайту. Доступ до цього порталу захищений лише ім’ям користувача та паролем, багатофакторна автентифікація відсутня. Шкідливі програми, які спеціалізуються на крадіжці даних доступу, протягом багатьох років були частиною стандартного репертуару кіберзлочинців. Наприклад, шахраї, які незаконно привласнюють реєстраційні дані аптеки, теоретично можуть використовувати портал для створення одного сертифікату вакцинації за іншим.
Сертифікати про вакцинацію також можна інтегрувати в додаток Corona-Warn-App (CWA) Інституту Роберта Коха, щоб мати можливість показувати їх на смартфоні. Однак програма не перевіряє, чи дійсний електронний підпис відсканованого підтвердження. За допомогою кількох рядків програмного коду можна створити QR-код із фантастичним сертифікатом вакцинації, який легко приймається додатком Corona-Warn-App і легко витримує візуальний огляд. Фактична перевірка свідоцтва про вакцинацію можлива лише за допомогою програми CovCheck.
Більше на GData.de
Про G Data За допомогою комплексних послуг кіберзахисту винахідник AntiVirus дозволяє компаніям захищатися від кіберзлочинців. Понад 500 співробітників забезпечують цифрову безпеку компаній і користувачів. Зроблено в Німеччині. Маючи понад 30 років досвіду в аналізі зловмисного програмного забезпечення, G DATA проводить дослідження та розробку програмного забезпечення виключно в Німеччині. Найвищі вимоги до захисту даних є головним пріоритетом. У 2011 році компанія G DATA надала гарантію «без бекдорів» із знаком довіри «ІТ-безпека зроблено в Німеччині» від TeleTrust eV. G DATA пропонує портфоліо засобів захисту від вірусів і кінцевих точок, тестів на проникнення та реагування на інциденти, судово-медичний аналіз, перевірки стану безпеки та навчання кіберобізнаності для ефективного захисту компаній. Нові технології, такі як DeepRay, захищають від шкідливих програм за допомогою штучного інтелекту. Обслуговування та підтримка є частиною кампусу G DATA в Бохумі. Рішення G DATA доступні в 90 країнах і отримали численні нагороди.