韩国修复了新冠肺炎隔离应用程序中的漏洞,该漏洞可能会让攻击者获取位置等敏感用户信息,并篡改数据

2020-07-22 02:22:22

韩国首尔-韩国因有效利用数字工具遏制冠状病毒而受到称赞,从紧急电话警报到基于各种数据的积极接触者追踪,不一而足。

但一名软件工程师发现,这一战略的一个支柱-一款帮助执行隔离的移动应用程序-存在严重的安全缺陷,使私人信息容易受到黑客的攻击。

《纽约时报》证实了这些缺陷,现在这些缺陷已经修复,攻击者可能会检索到被隔离人员的姓名、实时位置和其他详细信息。这些漏洞还可能允许黑客篡改数据,让这款应用的用户看起来要么违反了隔离命令,要么尽管在其他地方,但仍处于隔离状态。

在采访中,韩国官员承认,他们是在工程师弗雷德里克·雷赫滕斯坦(Frédéric Rechstein)和时报通知他们之后才意识到安全漏洞的。

“我们真的急于尽快开发和部署这款应用,以帮助减缓病毒的传播,”负责监管这款应用的内政部灾害应急部门官员郑赞铉(Jung Chan-hyun,音译)说。“我们承担不起对这款应用进行耗时的安全检查,因为这会推迟它的部署。”

铁道部修复了上周在谷歌和苹果商店发布的最新版本的应用程序中的缺陷。韩国官员表示,在修补漏洞之前,他们没有收到任何个人信息被不当检索或滥用的报告。

世界各地的政府都在争先恐后地部署病毒跟踪应用程序,结果却面临着对糟糕的安全做法的抱怨。由于该软件收集了如此多关于用户、他们的健康状况和他们所在位置的细节,这些应用程序是黑客的首要目标。但迅速采取行动的压力似乎允许安全功能不足的软件在几个国家匆忙推出。

泰晤士报今年春天发现,印度的一款病毒跟踪应用程序可能会泄露用户的准确位置,促使印度政府解决这个问题。大赦国际在卡塔尔的一个暴露警报应用程序中发现了缺陷,那里的当局很快就更新了该应用程序。包括挪威和英国在内的其他国家在公众对隐私提出强烈抗议后,不得不改变其病毒应用程序的路线。

今年4月,韩国开始要求所有从国外抵达的游客和居民将自己隔离两周。为了监控合规情况,他们不得不安装一款应用程序,其名称在韩语中的意思是自我检疫安全保护。

截至上个月,已有超过16.2万人下载了这款应用,该应用可以跟踪用户的位置,以确保他们留在隔离区。违规者可能会被要求佩戴跟踪腕带,或者支付高额罚款。

今年5月,雷赫滕斯坦从国外旅行回到位于首尔的家中。在家里自我孤立的同时,他对政府这款看似简单的应用程序以及它可能有哪些额外功能产生了好奇。这促使雷希滕斯坦偷看了代码的背后,这就是他如何发现了几个主要的安全漏洞。

他发现,该软件的开发人员给用户分配的ID号很容易猜到。在猜测了一个人的证书后,黑客可以检索到注册时提供的信息,包括姓名、出生日期、性别、国籍、地址、电话号码、实时位置和医疗症状。

雷赫滕斯坦还发现,开发人员使用了一种不安全的方法来扰乱或加密应用程序与存储数据的服务器之间的通信。与Gmail和Twitter等应用程序使用的安全标准HTTPS不同,这款应用程序使用的是直接写入代码的加密密钥。

这样做意味着黑客可以很容易地找到密钥并解码数据,如果他们尝试过的话。这也意味着密钥不会根据正在发送的消息或用户发送的消息而更改。

有了如此弱的加密,监控该应用程序与服务器的所有通信将成为可能,例如,通过与其他使用该应用程序的人处于同一个不受保护的Wi-Fi网络上。

“纽约时报”检查了这款应用的代码,并证实了雷赫滕斯坦的发现。在“纽约时报”上个月就安全漏洞与韩国当局接触后,官员们表示,他们已经把快速部署该应用程序放在了优先位置,“以拯救生命”。

内政部官员郑志刚说,他的团队与Winitech合作开发了这款应用,Winitech是一家位于韩国大邱的软件维护和修复公司,该市在2月份成为疫情爆发的中心。

Winitech高级董事总经理洪胜福(Hong Seong-bok)表示,该公司最初开发这款应用程序时,预计只有一小部分韩国人会使用这款软件。

洪磊说,“我们从来没有想到它会被这么多人使用,成为所有抵达机场的旅客的必备应用。”

钟彬娴说,虽然该团队夜以继日地开发这款应用程序,并培训官员如何使用它,但他们缺乏确保软件安全的专业知识。

随着时间的推移,政府还要求荣格的团队在应用程序中增加监控功能,官员们说,这增加了他们的工作量,使他们无法花费时间寻找安全漏洞。

例如,增加了一项功能,当被隔离的人的手机没有物理移动超过两个小时时,它会发出噪音或振动。如果用户没有拿起设备回应,这是一个潜在的迹象,表明这个人冒险出去了,把手机留在了那里。然后,这款应用程序会向当局发出警报。

为了更密切地关注检疫违规者,还增加了另一项功能,将跟踪腕带连接到应用程序。

韩国官员古昌奎(Koo Chang-kyu,音译)说,“我们简直被工作压得喘不过气来。”

在上个月与雷希滕斯坦和时报记者的会面中,韩国官员最初淡化了安全问题,称一旦一名用户完成了为期两周的隔离,他们就删除了个人数据,并关闭了这款应用。

但雷赫滕斯坦在会上展示了,尽管他的隔离在一周多前就结束了,但通过使用手机上的应用程序,他的数据仍然可以从政府服务器上检索出来。韩国官员后来表示,他们已经解决了这个问题。

韩国因创造性和透明地处理冠状病毒大流行而成为全球的典范。但雷赫滕斯坦说,这款应用程序的安全缺陷表明,该国在保护个人数据方面有多么落后。他还对当局花了多长时间来解决问题表示失望。

雷赫滕斯坦说,这一事件可能会“影响人们对韩国抗击流感模式的看法”。