Homem hackeia teste doméstico de COVID-19 e altera resultados

Homem hackeia teste doméstico de COVID-19 e altera resultados

Um pesquisador de segurança foi capaz de alterar os resultados de um teste doméstico de COVID-19. Ele fez isso interceptando e modificando o tráfego Bluetooth do dispositivo antes que ele chegasse ao aplicativo. Ken Gannon, que trabalha como consultor para a empresa F-Secure, encontrou a falha no teste Swab da Ellume.

O teste foi projetado para analisar e transmitir os dados para um aplicativo que exibe e salva os resultados. De acordo com um comunicado à imprensa por parte da F-Secure, a farmacêutica Ellume já corrigiu o problema.

Leia também
Startups de Singapura lançam aparelhos que detectam COVID-19 em dois minutos

Falsificando testes de COVID-19

O processo de falsificação dos resultados não era tão simples. De acordo com o artigo da F-Secure, o pesquisador fez root em um dispositivo Android e o usou para acessar e analisar os dados que o dispositivo de teste estava enviando para o aplicativo.

A partir daí, Gannon foi capaz de identificar como os resultados foram enviados e como sua autenticidade foi verificada. Em seguida, ele escreveu dois scripts que foram capazes de transformar com sucesso um resultado negativo em positivo. Quando ele recebeu um e-mail da Ellume com seus resultados, o teste mostrava incorretamente que ele tinha testado positivo. Se você estiver interessado nos detalhes técnicos, pode ler o artigo completo aqui.

A Ellume, por sua vez, disse que seguiu as recomendações da F-Secure para fazer mais análises e garantir que os dados eram precisos. Além disso, ela fez alterações no aplicativo que devem dificultar a análise e transmissão de seus dados. Gannon disse que não testou para ver se a vulnerabilidade era aplicável à versão para iOS do aplicativo.

Perigos dessa falha de segurança

Na verdade, o seu objetivo era “ver se uma ‘pessoa média’ conseguia falsificar um teste de COVID”. Em teoria, qualquer pessoa mal intencionada e com determinação poderia usar a sua pesquisa para modificar o aplicativo da Ellume e assim falsificar os resultados. É digno de nota também que essa pessoa poderia usar um smartphone sem acesso root.

 

Embora a descrição de Gannon inclua apenas a mudança de resultados negativos para positivos, ele diz que “o processo funciona nos dois sentidos”. Antes dos patches da Ellume, o pesquisador disse que “alguém com a motivação adequada e habilidades técnicas poderia ter usado essas falhas para garantir que eles, ou alguém com quem estão trabalhando, obtenham um resultado negativo cada vez que são testados.”

Em tese, uma certificação falsa poderia ser forjada para atender aos requisitos de entrada nos EUA. A F-Secure não apenas conseguiu obter um resultado certificado incorreto, como  também o fez sem que um supervisor de teste de vídeo fosse capaz de detectá-lo. Neste caso, um profissional da Ellume acompanha todo o teste para garantir que o usuário fez tudo corretamente. Mesmo assim era possível falsificar o resultado.

Em comunicado à imprensa, a Ellume disse que está agora trabalhando em um “portal de verificação”. Ele permitirá que as autoridades verifiquem se seus testes caseiros são autênticos. Após analisar todos os resultados anteriores para verificar a autenticidade, a empresa concluiu que nenhum deles havia sido falsificado.

Fonte: F-Secure

Sobre o Autor

Redes Sociais:

Deixe seu comentário

X