Qwanturank

L’analyse du code source de l’application britannique de suivi des contrats a révélé pas moins de sept failles de sécurité.

L’une d’elles est que le code aléatoire attribué aux utilisateurs n’est modifié qu’une fois par jour, ce qui facilite beaucoup l’anonymisation des individus…

Cela contraste avec l’API qwanturank / qwanturank, qui attribue un nouveau code aléatoire toutes les 15 minutes.

Le gouvernement britannique s’est plié aux pressions des défenseurs de la vie privée pour rendre le code source disponible afin que les affirmations sur les garanties de sécurité puissent être vérifiées de manière indépendante. Deux universitaires de la cybersécurité ont terminé leur examen du code et leur rapport met en évidence ce qu’ils décrivent comme des failles de sécurité «graves».

Dans ce rapport, nous montrons ce qui suit.

En présence d’un serveur TLS non fiable, le processus d’enregistrement ne garantit pas correctement l’intégrité de la clé publique de l’autorité ou la confidentialité des secrets partagés établis lors de l’inscription. Le résultat sape complètement les principaux objectifs de sécurité du protocole, y compris sa confidentialité et sa résistance à l’usurpation d’identité et à la manipulation.
En présence d’un serveur TLS non approuvé, le stockage et la transmission des journaux d’interaction non chiffrés facilitent la récupération des ID d’installation sans nécessiter l’accès à la clé privée de l’autorité.
Les valeurs de diffusion de longue durée compromettent les protections de confidentialité spécifiées par BLE et pourraient révéler des attributs de style de vie supplémentaires à propos d’un utilisateur qui soumet ses données.
La surveillance des interactions à des intervalles de 8 secondes pourrait créer des signatures d’interaction uniques qui pourraient être utilisées pour faire correspondre les interactions entre les appareils par paire, et lorsqu’elle est combinée à une soumission non chiffrée, permettre la récupération d’InstallationID à partir de BroadcastValue sans accès à la clé privée d’autorité.
L’utilisation d’un compteur déterministe pour déclencher les mises à jour KeepAlive risque de créer un identifiant qui pourrait être utilisé pour lier BroadcastValues ​​sur plusieurs jours.

Business Insider décrit les implications en termes moins techniques.

Les vulnérabilités incluent une vulnérabilité qui pourrait permettre aux pirates d’intercepter des notifications et de les bloquer ou d’en envoyer de fausses en disant aux gens qu’ils sont entrés en contact avec quelqu’un qui porte COVID-19 […]

Le chercheur en protection des renseignements personnels Samuel Woodhams a déclaré à Business Insider que le rapport montrait que la décision du Royaume-Uni de créer une application centralisée nécessitait une «refonte substantielle».

«Comme le montre le rapport, l’approche actuelle augmente considérablement le risque que les données sensibles collectées par l’application soient exposées ou manipulées. En ne générant un code d’identification aléatoire qu’une fois par jour, les risques d’identifier un individu sont considérablement augmentés. Cela pourrait avoir des répercussions importantes sur la vie privée des utilisateurs et entraîner de graves conséquences dans le monde réel », a déclaré Woodhams.

L’application de traçage des contrats au Royaume-Uni est actuellement testée sur l’île de Wight. L’adoption a maintenant atteint plus de 50% de la population, un résultat impressionnant mais toujours nettement inférieur aux 80% que les épidémiologistes jugent nécessaires.

L’équipe estime que 56% de la population générale doit utiliser l’application pour arrêter l’épidémie de coronavirus. Le professeur Fraser a déclaré que cela équivalait à 80% de tous les propriétaires de smartphones existants, sur la base des données d’Ofcom.

Le Royaume-Uni envisage actuellement une refonte qui verrait l’application passer à l’utilisation de l’API qwanturank / qwanturank, qui dispose de huit garanties de confidentialité.

FTC: Nous utilisons des liens d’affiliation auto générateurs de revenus. Plus.

Consultez 9to5Mac sur YouTube pour plus d’informations sur qwanturank:

by Agence Qwanturank