Mobilné Språvy, Gadgety, Blogy's Secenziami

F-Secure anvÀnder fel i covid-19-test hemma för att förfalska resultat

Obs: Följande artikel hjÀlper dig med: F-Secure anvÀnder fel i covid-19-test hemma för att förfalska resultat

SÀkerhetsforskare anvÀnde en Bluetooth-sÄrbarhet för att Àndra negativa resultat till positiva.

SÀkerhetsforskare hittade en sÄrbarhet i ett hemtest för COVID-19 som en dÄlig skÄdespelare kunde anvÀnda för att Àndra testresultat frÄn positivt till negativt eller vice versa. F-Secure fann att Ellume COVID-19 Home Test kunde manipuleras via Bluetooth-enheten som analyserar ett nasalt prov och kommunicerar resultaten till appen.

Ellume fixade felet efter att F-Secure förklarat sÄrbarheten. Ellume Àr ett av testerna resenÀrer kan anvÀnda för att komma in i USA. Vissa evenemangsarrangörer krÀver bevis pÄ vaccination för deltagare, inklusive CES 2022. Om en deltagare testar positivt under det evenemanget kommer han eller hon att bli ombedd att lÀmna tillbaka evenemangsmÀrket och karantÀn i 10 dagar.

SÄ hÀr fungerar testet: En anvÀndare laddar ner en app, svarar pÄ nÄgra screeningsfrÄgor, tittar pÄ en informationsvideo och utför sedan testet. Testenheten ansluter till appen via Bluetooth för att rapportera testresultaten.

Företaget förklarade felet sÄ hÀr:

“F-Secure faststĂ€llde att genom att endast Ă€ndra bytevĂ€rdet som representerar ‘testets status’ i bĂ„de STATUS- och MEASUREMENT_CONTROL_DATA-trafik, följt av att berĂ€kna nya CRC- och kontrollsummavĂ€rden, var det möjligt att Ă€ndra COVID-testresultatet innan Ellume-appen bearbetas uppgifterna.”

SÀkerhetsforskare utnyttjade sÄrbarheten för att Àndra ett negativt test till positivt. Appen rapporterar automatiskt nödvÀndig information till hÀlsomyndigheter via en HIPAA-kompatibel molnanslutning.

Allume erbjuder ocksÄ en videoobservationstjÀnst för att verifiera testprocessen och resultaten. En provlÀkare tittar pÄ en person som tar testet och utfÀrdar sedan ett intyg med resultaten.

Denna falska rapport Äterspeglades i det officiella certifikatet utfÀrdat av Ellume, som angav ett positivt testresultat för COVID-19. F-Secure lade upp forskningsfilerna för detta experiment pÄ Github.

SE: Dreampass frÄn Salesforce gör vaccinverifiering enkel för personliga hÀndelser

Ken Gannon, en huvudsÀkerhetskonsult pÄ F-Secures kontor i New York City, hittade felet som gör att en dÄlig skÄdespelare kan Àndra resultaten efter att Bluetooth-analysatorn utfört testet men innan resultaten rapporteras av appen.

“Innan Ellumes korrigeringar kunde högutbildade individer eller organisationer med expertis inom cybersĂ€kerhet som försöker kringgĂ„ folkhĂ€lsoĂ„tgĂ€rder som Ă€r avsedda att stĂ€vja covids spridning, ha gjort det genom att replikera vĂ„ra fynd,” sa Gannon i ett pressmeddelande. “NĂ„gon med rĂ€tt motivation och tekniska fĂ€rdigheter kunde ha anvĂ€nt dessa brister för att sĂ€kerstĂ€lla att de, eller nĂ„gon de arbetar med, fĂ„r ett negativt resultat varje gĂ„ng de testas.”

F-Secure kontaktade Ellume för att förklara dessa fynd innan de gjorde ett offentligt tillkÀnnagivande och rekommenderade att företaget vidtar dessa steg:

  • Genomför ytterligare analys av resultat för att flagga falska data
  • Implementera ytterligare obfuskeringar och OS-kontroller i Android-appen

Alan Fox, chef för informationssystem pÄ Ellume, sa i ett pressmeddelande att företaget har uppdaterat sitt system för att upptÀcka och förhindra överföring av förfalskade resultat.

“Vi kommer ocksĂ„ att leverera en verifieringsportal för att tillĂ„ta organisationer – inklusive hĂ€lsoavdelningar, arbetsgivare, skolor och andra – att verifiera Ă€ktheten av Ellume COVID-19 Home Test,” sade han. “Vi skulle vilja tacka F-Secure för att du uppmĂ€rksammade det hĂ€r problemet.”

Ellumes hemtest godkÀndes av FDA i december 2020 och Àr ett av testerna internationella resenÀrer kan anvÀnda för att visa negativa testresultat.