A manapság széles körben használt, utazási útlevélként funkcionáló digitális oltási tesztalkalmazások több mint feléről kiderült, hogy kockázatot jelentenek a felhasználók személyes adataira – írja a Bleeping Computer.
A szóban forgó digitális útlevél-alkalmazások a felhasználók oltási információi mellett teljes nevüket, személyazonosító számukat, születési dátumukat és számos más személyes adatukat is kezelik, amelyeket jellemzően egy QR-kódba kódolva tárolnak el. A felhasználók ezzel a QR-kóddal igazolhatják, hogy jogosultak arra, hogy beléphessenek célállomásukra.
Az alkalmazásokat jellemzően kormányok egészségügyi és informatikai szervei bocsátják ki, amelyek mobilszoftver-fejlesztő vállalatok szakembereivel együttműködve alkotják meg az appokat.
A Symantec szoftvercég szakértői csapata 40 útlevél-alkalmazást és 10 hitelesítő (szkenner) applikációt vizsgált meg. Megállapította, 50-ből 27 app biztonsági kockázatot jelent a felhasználók személyes adataira.
Jelentős fenyegetés
A Symantec jelentésében több biztonsági problémát is kiemelt. Egyebek között kiderült, hogy a vizsgált appok közül sok olyan QR-kódot generál, amely nem titkosított, egyszerűen csak kódolva tárolja a személyes információkat.
A kódolás egy olyan kifejezés, amely az (egészségügyi)adatok digitális formátumba történő konvertálását jelöli, ami egy könnyen beolvasható és feldolgozható (QR-) kódot eredményez.
A titkosítás ezzel szemben kriptográfiai algoritmusok segítségével nem olvasható formátummá alakítja az adatokat. Ebben az esetben csak az arra jogosultak birtokolják az adatok visszafejtéséhez és olvasásához szükséges kulcsot. Ez azt jelenti, hogy, ha egy app csak kódolja a letöltők adatait, akkor bárki, aki rendelkezik egy egyszerű QR-kód olvasóval, hozzáférhet a személyes információkhoz.
A Symantec csapata által felfedezett másik elterjedt probléma a felhőalapú tárolási szolgáltatásokból származó egészségügyi adatok igény szerinti továbbítása volt, ami az esetek 38 százalékában nem igényelt HTTPS-kapcsolatot, ez szintén sebezhetővé teszi a felhasználókat a támadásokkal szemben.
Mindezek mellett az appok 43 százaléka külső tárhely hozzáférési engedélyt igényel, amely feltétel nélküli hozzáférést biztosít az alkalmazásnak az eszköz helyi fájljaihoz, ez szintén felesleges adatvédelmi kockázatot jelent.
Mit lehet tenni?
Ha kénytelen vagy valamilyen oltási útlevél-alkalmazást használni, akkor mindenképpen kerüld el a harmadik felektől származó, ködös fejlesztői háttérrel rendelkező appokat. Azoknak a cégeknek a termékeit részesítsd előnyben, amelyek szigorú adatvédelmi praktikákat alkalmaznak, ilyen például az Apple Health és a Google Wallet.
A telepítés során ügyelj az engedélykérésekre: kerüld a kockázatosnak tűnő, indokolatlan és az alkalmazás alapvető funkcióihoz közvetlenül nem kapcsolódó engedélyek megadását.
Ha az applikáció megbízható és hiteles, akkor minimális engedélyekkel is el tudja látni a kívánt „útlevél-feladatokat”.