اكتشف باحث أمني خطأ في مجموعة اختبار COVID-19 في Cue Health التي يمكن أن تسمح للمستخدمين بتزوير النتائج. يمكن اكتشاف عينة إيجابية في 20 دقيقة. اختبارات النظام لفيروس كورونافير باستخدام مسحة الأنف التي يتم إدراجها في خرطوشة واحدة للاستخدام وتحليلها بواسطة قارئ جديلة يعمل بالبطارية ، ثم ينقل هذا النتيجة على Bluetooth إلى تطبيق Cue Health على هاتف المختل. في مارس 2021 ، أصبح نظام Cue أول مجموعة اختبار Covid-19 الجزيئية لتلقي ترخيص الطوارئ من إدارة الأغذية والعقاقير (FDA اتباع نهج في اختبار Covid-19 ، وجد Ken Gannon ، مستشار الأمن في WithSecure ، أعمال أمن الشركات في Secure ، عيبًا في مجموعة الاختبار التي يمكن أن تسمح بتعديل نتائج الاختبار.
إنها المرة الثانية تم اكتشاف ضعف الأمن في اختبار COVID-19 متصلًا من قبل الباحث نفسه الذي قام مؤخرًا بتعرض عيب مماثل في اختبار Ellume Covid-19 المنزلي ، مما يشكك في سلامة مجموعات الاختبار التي هرعت إلى السوق بموجب صلاحيات الموافقة في حالات الطوارئ في الحكومة الفيدرالية.
تم العثور على الثغرة الأمنية - التي تم إصلاحها الآن - في كيفية تواصل قارئ CUE مع تطبيق Cue Health عبر Bluetooth باستخدام بروتوكول Protobuf ، والذي يعرض بيانات الاختبار في كتلة البيانات القابلة للقراءة بسهولة. تنتهي كتلة البيانات التي تم إنشاؤها بواسطة القارئ في 10 02 للحصول على نتيجة اختبار COVID-19 موجبة ، أو 10 03 للحصول على نتيجة سلبية. طور Gannon نصًا مكّنه من اعتراض وتعديل البيانات عن طريق معالجة هذه الأرقام. عن طريق تغيير رقم واحد في النتيجة ، أو الانزلاق البت ، فإن Gannon يمكن أن ينشأ نتيجة سلبية إلى نتيجة إيجابية ، وكذلك للحصول على شهادة تحقق من النتائج على أنها صالحة.
نتيجة اختبار Covid-19 المعالجة . وقال غانون إن ائتمانات الصورة: كين غانون / withsecure
العملية هي نفسها في الأساس لتغيير نتيجة إيجابية إلى السلبية ، والتي قد تسبب مشاكل إذا كان شخص يعرف كيفية فعل ما فعلته يقرر البدء في تزييف النتائج. وقال غانون إن اختبارات COVID-19 السلبية أصبحت متطلبات للعديد من الأنشطة ، بما في ذلك السفر إلى الولايات المتحدة.
حتى الآن ، فإن مستوى المهارة المطلوب لقلب هذه البتات مرتفع إلى حد ما. سيحتاج الشخص إلى معرفة جيدة في اختراق تطبيقات الهاتف المحمول وتشغيل التعليمات البرمجية المخصصة ضمن تطبيق Cue. ومع ذلك ، هناك شيء واحد أشعر بالقلق دائمًا من اختراق تطبيق Android هو القدرة على تخصيص الاختراق حتى يتمكن المستهلك العادي من القيام بنفس الاختراق. ولهذا السبب ، فإنني أعمل عن قصد عن التفاصيل الفنية والرمز المخصص الذي لم يتمكن المهندسون العكسين فقط من فهمه واستخدامه. النتائج التي تتجاوز تلك التي أبلغ عنها WithSecure ، لكنها قالت إنها أضافت شيكات من جانب الخادم تهدف إلى اكتشاف النتائج المعالجة. لم تستجب Cue Health لـ TechCrunch عندما سئل عما إذا كانت الشركة لديها وسيلة للكشف عن معالجة النتائج قبل نتائج WithSecure. Br>
قد يؤدي خطأ Bluetooth في اختبار Covid-19 الشهير في المنزل إلى تزوير النتائج
اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي
