Notícia

Aplicativos Corona: pesquisadores relatam déficits em segurança


Os aplicativos de aviso de corona não são seguros o suficiente

Um aplicativo de alerta Corona estará disponível em breve na Alemanha. Com a ajuda deles, as pessoas que tiveram contato com COVID-19 infectado podem ser informadas mais cedo e com mais precisão sobre o risco de infecção, explica o centro do consumidor. Em outros países, esses aplicativos são usados ​​há muito tempo. Mas os pesquisadores agora estão relatando riscos de proteção e segurança de dados.

Cientistas britânicos descobriram recentemente em um estudo que aplicativos de aviso de corona podem ajudar a desacelerar significativamente a propagação do COVID-19. Infelizmente, esses aplicativos provavelmente não são seguros o suficiente. Uma equipe de pesquisa alemã ainda vê um claro potencial de melhoria aqui.

O aplicativo deve ajudar a controlar a pandemia de coroa

O aplicativo alemão de alerta de coroa é "um meio eficaz de ajudar a controlar a pandemia de coroa", disse o porta-voz do governo Steffen Seibert.

"A proteção da privacidade tem prioridade aqui", disse Seibert no site do governo federal.

Mas, aparentemente, ainda existem déficits em segurança e proteção de dados. Porque, de acordo com um anúncio atual, uma equipe de pesquisa da Universidade Técnica de Darmstadt, da Universidade de Marburg e da Universidade de Würzburg demonstrou recentemente e praticamente demonstrou em riscos de proteção e segurança de dados a especificação da abordagem proposta pelo Google e pela Apple para aplicativos corona em condições realistas aprovado.

O aplicativo de aviso alemão Corona, desenvolvido pela Deutsche Telekom e SAP em nome do governo alemão, baseia-se nessa abordagem. Os aplicativos de rastreamento de contato suíços e italianos também usam essa plataforma.

Perfis detalhados de movimento de pessoas infectadas

Através de experimentos em cenários do mundo real, os pesquisadores mostraram que riscos teoricamente conhecidos podem ser explorados usando meios técnicos comuns.

Por um lado, um invasor externo pode criar perfis detalhados de movimento de pessoas infectadas com o novo coronavírus SARS-CoV-2 e, em certas circunstâncias, identificar as pessoas afetadas.

Por outro lado, um invasor é capaz de manipular as informações de contato coletadas através dos chamados ataques de retransmissão, que podem afetar a precisão e a confiabilidade de todo o sistema de rastreamento de contatos.

Identificação de ciclos de infecção

Segundo especialistas, os aplicativos de rastreamento de contatos em dispositivos móveis prometem reduzir significativamente o esforço manual para identificar ciclos de infecção e aumentar a cobertura do rastreamento de contatos.

Uma das sugestões mais conhecidas para rastreamento de contatos vem da colaboração das empresas americanas Google e Apple. Espera-se que os dois grupos integrem essa nova funcionalidade padrão em seus respectivos sistemas operacionais móveis, Android e iOS.

Alguns países, incluindo a Alemanha, já escolheram essa abordagem em seus projetos nacionais para a identificação digital de pessoas de contato.

Foram identificadas localizações sensíveis dos sujeitos do teste

O ponto de partida para os experimentos dos especialistas em segurança de TI das três universidades foi publicado anteriormente sobre possíveis riscos de proteção de dados e segurança em conexão com os desenvolvimentos do chamado "Google Apple Protocol" (GAP).

Os cientistas testaram se os ataques descritos conceitualmente podem ser realizados na prática. De acordo com as informações, os experimentos mostram que o GAP é, por um lado, suscetível à criação de perfis e, portanto, possivelmente ao anonimato das pessoas infectadas.

Por outro lado, os chamados ataques de retransmissão ou buraco de minhoca também são possíveis no GAP, pelo qual os atacantes podem gerar informações de contato incorretas e, portanto, sofrer a precisão e a correção do sistema geral.

De acordo com o anúncio, a equipe de pesquisa implementou os ataques usando ferramentas de baixo custo disponíveis no mercado, como sniffers Bluetooth (como um aplicativo em smartphones ou Raspberry Pis), que também podem ser usados ​​em ambientes móveis.

Como a implementação da abordagem GAP ainda não está disponível para a comunidade científica em geral, os pesquisadores construíram os ataques com base em especificações publicadas anteriormente.

Os resultados mostraram que, quando sensores estrategicamente posicionados são usados ​​em smartphones em uma determinada área, os movimentos de pessoas infectadas, simulados pelos sujeitos do teste, podem ser reconstruídos em detalhes.

Isso também tornou possível identificar o paradeiro sensível dos sujeitos de teste e possíveis relações sociais entre eles.

Potencial claro de melhoria

A vulnerabilidade do GAP aos chamados ataques de retransmissão ou buraco de minhoca também revela fraquezas. Conforme declarado no anúncio, esse método permite que um invasor colete os chamados IDs de usuário Bluetooth, gerados por um aplicativo de rastreamento de contatos, e repasse-os para locais mais distantes sem ser notado.

Entre outras coisas, os IDs Bluetooth foram transmitidos com sucesso entre duas cidades separadas por 40 quilômetros.

Isso pode permitir que um invasor comprometa o sistema de rastreamento de contatos duplicando informações erradas sobre a presença de pessoas infectadas em muitos locais, o que pode levar a um aumento significativo de alarmes falsos sobre o risco potencial de infecção.

No geral, a equipe de pesquisa ainda vê um potencial de melhoria significativo para a abordagem proposta pelo Google e pela Apple para aplicativos corona.

Uma descrição detalhada dos experimentos e seus resultados pode ser encontrada no relatório completo do estudo em "arXiv.org", um servidor de documentos para pré-impressões dos campos da física, matemática, ciência da computação, estatística, matemática financeira e biologia. (de Anúncios)

Informação do autor e fonte

Este texto corresponde às especificações da literatura médica, diretrizes médicas e estudos atuais e foi verificado por médicos.

Inchar:

  • Universidade Técnica de Darmstadt: Aplicativos de aviso de corona: déficits de segurança (acessado em 14 de junho de 2020), Universidade Técnica de Darmstadt
  • Lars Baumgärtner, Alexandra Dmitrienko, Bernd Freisleben, Alexander Gruler, Jonas Höchst, Joshua Kühlberg, Mira Mezini, Markus Miettinen, Anel Muhamedagic, Thien Duc Nguyen, Alvar Penning, Dermot Frederik Pustelnik, Filipp Roos, Ahmad-Michael Uhl: observe o GAP: riscos de segurança e privacidade dos aplicativos de rastreamento de contatos; em: arXiv.org, (publicado: 10.06.2020), arXiv.org
  • Centro de orientação ao consumidor: Aviso de corona por meio do aplicativo: perguntas e respostas sobre o aplicativo de rastreamento planejado (acessado em 14 de junho de 2020), centro de orientação ao consumidor
  • Governo federal: aplicativo de aviso Corona: porta-voz do governo responde às suas perguntas, (acessado em 14 de junho de 2020), governo federal


Vídeo: How Coronavirus Contact Tracing Apps Work. WSJ (Janeiro 2022).