O nás     Inzerce     KontaktSpolehlivé informace o IT již od roku 2011
Hledat
Nepřehlédněte: 2. kolo: Pozoruhodné IT produkty 2020
Správa dokumentů
Digitální transformace
Informační systémy
Hlavní rubriky: Informační systémy, Mobilní technologie, Datová centra, Sítě, IT bezpečnost, Software, Hardware, Zkušenosti a názory, Speciály

Pozoruhodné IT produkty 2020
E-knihy o IT zdarma
Odborné IT konference BusinessIT
Manuál Linux

Chytré karantény a aplikace pro trasování kontaktů nejsou bez rizik

Výzkumný tým společnosti Check Point upozornil na rizika spojená s aplikacemi pro trasování kontaktů, které používají vlády v rámci tzv. chytré karantény pro sledování šíření koronavirové nákazy. Mezi možná rizika patří sledování zařízení, únik osobních údajů, zachycení provozu aplikací a falešné zdravotnické reporty.

  • GPS může prozradit citlivé informace a odhalit cesty a polohy uživatelů za několik posledních dnů nebo týdnů
  • BLE (Bluetooth Low Energy) lze použít k trasování zařízení
  • V zájmu zachování anonymity uživatele by s aplikací neměly být nikdy spojeny žádné osobní identifikátory (telefonní číslo, jméno, ID atd.)

Specialisté společnosti Check Point postupně analyzuje aplikace pro trasování kontaktů v řadě evropských i mimoevropských zemí. Po úvodním prozkoumání vyjádřili bezpečnostní experti řadu obav. Výzkumný tým zmínil čtyři problematické oblasti:

1. Zařízení lze sledovat. Protože některé aplikace pro trasování kontaktů spoléhají na BLE (Bluetooth Low Energy), zařízení vysílají handshake pakety, které usnadňují identifikaci kontaktu s jinými zařízeními. Pokud vše není implementováno správně, mohou hackeři sledovat zařízení pomocí kontaktu mezi zařízeními a příslušných identifikačních paketů.
2. Ohrožení osobních údajů. Některé aplikace ukládají informace o kontaktu s jinými uživateli, šifrovací klíče a další citlivá data do zařízení. Citlivá data by měla být šifrována a uložena v sandboxu a ne na sdílených místech. Dokonce i v sandboxu by v případě získání root oprávnění nebo fyzického přístupu k zařízení mohla být data ohrožena, a to zejména v případě, že jsou uloženy takové citlivé informace, jako je GPS poloha.
3. Zachycení provozu aplikace. Pokud veškerá komunikace aplikace se serverem není řádně šifrována, mohou uživatelé čelit „man-in-the-middle“ útokům a může dojít k zachycení provozu aplikace.
4. Riziko falešných zdravotnických reportů. Výzkumný tým upozorňuje, že je důležité, aby aplikace požadovaly ověření, pokud zasílají informace na servery, například když uživatel poskytuje svou diagnózu a informace o kontaktu s jinými uživateli. Bez řádného ověření existuje možnost zahltit servery falešnými zdravotními reporty, což by ohrozilo spolehlivost celého systému.

Check Point bude aplikace pro trasování kontaktů a „chytré karantény“ i nadále zkoumat.

Je důležité dodržovat základní bezpečnostní opatření.
1. Stahujte aplikace pouze z oficiálních zdrojů. Pokud si instalujete aplikace pro trasování kontaktů, využívejte pouze oficiální obchody s aplikacemi, které nabízí podobné aplikace pouze od autorizovaných vládních agentur. Protože se kyberzločinci snaží situace zneužít, množí se různé podvodné aplikace.
2. Používejte mobilní bezpečnostní řešení. Stáhněte si a nainstalujte mobilní bezpečnostní řešení, které bude hlídat vaše aplikace, ochrání zařízení před malwarem a ověří, že zařízení už nebylo infikováno.

„Je stále ještě brzy na to jednoznačně říci, jak bezpečné nebo rizikové jsou v globálním pohledu aplikace pro trasování kontaktů. Aplikace pro trasování kontaktů musí udržovat křehkou rovnováhu mezi soukromým a zabezpečením, protože špatná implementace bezpečnostních standardů může ohrozit data uživatelů. Je potřeba si tedy klást otázky, jaká data jsou shromažďována, jak jsou ukládána a jak jsou získaná data zpracovávána,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.


(15. 6. 2020 | Lukas_Kriz)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<
©2011-2020 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(7901)