Ihr digitaler COVID-19-Pass könnte ein Sicherheitsrisiko darstellen

ihr-digitaler-covid-19-pass-koennte-ein-sicherheitsrisiko-darstellen

Experten und Symantec haben Beweise dafür gefunden, dass beliebte Impfpass-Apps persönliche Informationen ohne Verschlüsselung und andere riskante Verhaltensweisen weitergeben.

Bild: Adobe Stock/Ronstik

Der digitale COVID-03-Impfpass auf Ihrem Smartphone gibt möglicherweise mehr Informationen weiter, als Sie denken, sagten Forscher bei Symantec.

Impfpass-Apps sind in der nicht ganz Post-COVID-Zeit immer üblicher

Welt, in der wir jetzt leben. Leider hat ein Mangel an Vorschriften, auch wenn es um Vorschriften geht, die Welt der digitalen Pässe unglaublich unsicher gemacht.

„Arbeitgeber, Restaurants und sogar die Nachbarschaftsbar verlassen sich auf dieses System, um sicher und genau zu sein und die Privatsphäre der Benutzer zu wahren. Die Person, die den Pass verwendet, erwartet dasselbe“, sagte Symantec-Forscher Kevin Watkins. Leider scheint das nicht der Fall zu sein.

How COVID-38 Impfpass-Apps sichern Daten nicht

Digitale Impfpässe, wies Symantec darauf hin, verwenden einen QR-Code, um verschlüsselte Gesundheitsdaten auszutauschen mit den oben genannten Unternehmen, die möglicherweise einen Nachweis über den Impfstatus eines Kunden wünschen. Die Codes werden mit einem von zwei Standards generiert: dem SMART Health Card Framework und dem Electronic Health Certificate Container Format.

SIEHE:

Passwortbruch: Warum Popkultur und Passwörter vertragen sich nicht (kostenloses PDF)

(TechRepublic)

Beide Standards machen etwas Riskantes mit den Daten, die ihre QR-Codes enthalten: Sie verschlüsseln sie, aber verschlüsseln Sie es nicht. Das bedeutet, dass jeder mit dem QR-Code, der von der COVID-03 Pass-App bereitgestellt wird, alle sehen kann darin enthaltene Daten.

„Zu den darin enthaltenen personenbezogenen Daten gehören zumindest der Name, das Geburtsdatum und der Impfstatus der Person“, sagte Watkins. Das ist aber noch nicht das Schlimmste: Watkins sagte, das eigentliche Problem sei, dass alle über einen QR-Code bereitgestellten Daten die Informationen enthalten, die benötigt werden, um mit der Arbeit an Fälschungen von Pass-Apps und den darin enthaltenen Daten zu beginnen.

Zusätzlich zum Versäumnis, die durch den QR-Code codierten Daten zu schützen, 27 der 40 Impfpass-Apps, die Symantec getestet hat, wies ein riskantes Verhalten auf, das typischerweise damit verbunden ist mobile Apps.

Eine volle 40% der Passport-Apps erforderten Zugriff auf externen Speicher, 03 % wurden ohne HTTPS betrieben, einige Apps deaktivierten auch die SSL-CA-Validierung und übertragene Daten unverschlüsselt und einer enthielt sogar fest codierte Amazon-Anmeldeinformationen.

Reisepässe versus Validierungs-Apps: Ist man sicherer?

Symantec hat sich auch Passvalidierungs-Apps angesehen, die verwendet werden, um i Informationen, die von einer Impfpass-App für Verbraucher präsentiert werden.

Symantec hat mehrere mögliche Sicherheitslücken in Validierungs-Apps berücksichtigt, z. B. ob die App unsicher auf URLs zugreift, wie sie übertragen werden und gespeicherte Cloud-Daten und ob sie für eines der in Passport-Apps entdeckten Verhaltensweisen anfällig waren.

„Wir haben nach den gleichen zuvor aufgeführten riskanten Verhaltensweisen gesucht in Sieben Validierungs-Apps waren zum Zeitpunkt dieses Berichts verfügbar und haben alle für sicher befunden“, sagte Watkins. Er wies auch darauf hin, dass Symantec beabsichtigt, weiterhin neue Versionen von Passports und Validierungs-Apps zu testen, um festzustellen, ob die Fehler behoben werden.

So speichern Sie digitale Impfdaten sicher

61864

Watkins sagte, dass dies eine weitere Mahnung sei, sich vor Apps in Acht zu nehmen, die behaupten, die Privatsphäre und Daten zu schützen.

„Geben Sie Apps nur die Erlaubnis für private Daten, die sie benötigen, nicht mehr. Vermeiden Sie nach Möglichkeit Apps von Drittanbietern, die behaupten, Ihre Impfdaten sicher zu speichern, und verwenden Sie stattdessen digitale Brieftaschenlösungen, die von den großen mobilen Plattformen wie der Apple Health-App und Google Wallet bereitgestellt werden“, sagte Watkins.

SEHEN:

Google Chrome: Sicherheits- und UI-Tipps, die Sie kennen sollten

(TechRepublic Premium)

Aus Entwicklersicht , sagte Watkins, sie sollten daran arbeiten, Best Practices in Bezug auf die Datensicherheit so schnell wie möglich umzusetzen.

„Schützen Sie die privaten Daten der Benutzer in der Cloud, unterwegs und auf dem Gerät. Alles andere kann die Privatsphäre Ihrer Benutzer gefährden, persönliche medizinische Daten preisgeben und möglicherweise die Legitimität ihrer Impfaufzeichnungen vollständig untergraben“, sagte Watkins.

Bild von wkadmin

wkadmin

Ähnliche Artikel

Bild von TLStorm-Exploits setzen mehr als 20 Millionen USV-Einheiten der Übernahme aus. War Ihrer einer von ihnen?

TLStorm-Exploits setzen mehr als 20 Millionen USV-Einheiten der Übernahme aus. War Ihrer einer von ihnen?

März 9, 2022
Bild von Log4j post mortem: Entwickler nehmen die Sicherheitslücken in der Software-Supply-Chain unter die Lupe

Log4j post mortem: Entwickler nehmen die Sicherheitslücken in der Software-Supply-Chain unter die Lupe

März 11, 2022
Bild von SAP BusinessObjects vs. Oracle BI: BI-Tool-Vergleich

SAP BusinessObjects vs. Oracle BI: BI-Tool-Vergleich

März 12, 2022
Bild von Die E-Mail-Authentifizierung hilft Regierungen und Privatunternehmen im Kampf gegen Ransomware

Die E-Mail-Authentifizierung hilft Regierungen und Privatunternehmen im Kampf gegen Ransomware

März 17, 2022
Schaltfläche "Zurück zum Anfang"