Ein Sicherheitsbericht, der auf der Quellcode-Analyse der Kontaktverfolgungs-App des NHS basiert, hat mehrere schwerwiegende Sicherheitslücken in der Software aufgedeckt.
Wie berichtet von Geschäftseingeweihter:
Die Kontaktverfolgungs-App der britischen Regierung weist laut Cybersicherheitsexperten, die ihren Quellcode analysiert haben, eine Reihe schwerwiegender Sicherheitslücken auf.
Ein Bericht von zwei Cybersicherheitsexperten, Dr. Chris Culnane und Vanessa Teague, wurde am Dienstag veröffentlicht. Sie identifizierten sieben Sicherheitsrisiken rund um die App, die derzeit auf der Isle of Wight getestet wird und in den nächsten ein oder zwei Wochen im Rest des Vereinigten Königreichs eingeführt werden soll.
Der betreffende Bericht stammt von Stand davonund zwei in Australien ansässige Cybersicherheitsexperten. Der Bericht stellt fest, dass die Bemühungen des Vereinigten Königreichs besser gemindert werden als die von Singapur und Die australische App ist jedoch nach wie vor nicht davon überzeugt, dass "die wahrgenommenen Vorteile der zentralisierten Ablaufverfolgung überwiegen seine Risiken. "
Wie von Business Insider zusammengefasst:
Zu den Sicherheitslücken gehört eine, die es Hackern ermöglichen könnte, Benachrichtigungen abzufangen Blockiere sie oder sende falsche aus, die den Leuten sagen, dass sie mit jemandem in Kontakt gekommen sind, der sie trägt COVID-19. Die Forscher stellten außerdem fest, dass die Strafverfolgungsbehörden auf unverschlüsselte Daten zugreifen können, die auf den Mobiltelefonen der Benutzer gespeichert sind. Obwohl die britische Regierung darauf bestanden hat, dass die Daten nur für die COVID-19-Antwort verwendet werden, eine Gruppe von 177 Personen Cybersicherheitsexperten haben sie bereits aufgefordert, Schutzmaßnahmen einzuführen, die die Daten vor einer erneuten Verwendung schützen Überwachung.
Darüber hinaus ändert sich der rotierende zufällige ID-Code, der zum Schutz der Privatsphäre der Benutzer verwendet wird, erstaunlicherweise nur einmal am Tag. Zum Vergleich: Die API von Apple und Google führt dies alle 10 bis 20 Minuten durch.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
In einer weiteren, vielleicht noch schockierenderen Enthüllung veröffentlichte das National Cyber Security Center eine Antwort auf den Bericht und stellte Folgendes zur Verschlüsselung fest:
Die Beta-Version der App verschlüsselt die Proximity-Kontaktereignisdaten auf dem Telefon nicht und wir verschlüsseln sie nicht unabhängig voneinander, bevor sie an den Server gesendet werden. Wenn es also an das Back-End übertragen wird, ist es nur durch TLS geschützt. Wenn Cloudflare fehlerhaft wurde (oder jemand sie kompromittierte), konnten sie auf diese Proximity-Protokolldaten zugreifen. Das NHS-Team ist sich absolut bewusst, dass Daten einen Wert haben und ordnungsgemäß geschützt werden müssen, aber die Verschlüsselung der Proximity-Protokolle konnte nicht rechtzeitig zur Beta durchgeführt werden. Dies wird behoben und verringert zusätzlich den physischen Zugriff auf die oben genannten Protokolle.
"Konnte einfach nicht rechtzeitig zur Beta fertig werden." Anstatt die Veröffentlichung der Beta zu verzögern, damit sie die Daten verschlüsseln können, hat NHSX die App trotzdem rausgeschmissen. Tolle Arbeit an alle.
In dem Bericht heißt es abschließend:
Es gibt bewundernswerte Teile der Implementierung, und sobald die bereits erwähnten Änderungen und Aktualisierungen vorgenommen wurden, wurden viele der in diesem Bericht angesprochenen Bedenken ausgeräumt. Es bestehen jedoch weiterhin Bedenken hinsichtlich des Gleichgewichts zwischen Datenschutz und Nützlichkeit. Die langlebigen BroadcastValues und detaillierten Interaktionsaufzeichnungen geben weiterhin Anlass zur Sorge. Obwohl wir verstehen, dass detailliertere Aufzeichnungen für die epidemiologischen Modelle wünschenswert sein können, müssen sie mit Datenschutz und Vertrauen in Einklang gebracht werden, wenn eine ausreichende Akzeptanz der App erfolgen soll.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Sichern Sie Ihr Zuhause mit diesen SmartThings Türklingeln und Schlössern.
Eines der besten Dinge an SmartThings ist, dass Sie eine Reihe anderer Geräte von Drittanbietern auf Ihrem System verwenden können, einschließlich Türklingeln und Schlössern. Da sie alle im Wesentlichen dieselbe SmartThings-Unterstützung haben, haben wir uns darauf konzentriert, welche Geräte die besten Spezifikationen und Tricks haben, um das Hinzufügen zu Ihrem SmartThings-Arsenal zu rechtfertigen.