تقلب برای چه؟ تاییدیه تزریق واکسن کرونا در وب تاریک 100 دلار فروخته میشود و مشکل امنیتی یک اپلیکیشن صدور تاییدیه واکسیناسیون باعث جعل گسترده کد QR تزریق شده
از کاربران نیویورکی برنامه Excelsior Pass Wallet خواسته شده پس از انتشار وصله در ۲۰ آگوست، آن را بهروزرسانی کنند
مقامات نیویورک میگویند مشکل Excelsior Pass Wallet را برطرف کردهاند. این برنامه کیف پول به کاربران اجازه میدهد اعتبارنامه واکسن کووید-۱۹ را دریافت و روی گوشی خود ذخیره کنند تا بتوانند از آن برای اجازه حضور در مکانهای عمومی مختلف استفاده کنند.
نخست، محققان NCC Group متوجه یک باگ امنیتی و آسیبپذیری مهم و بزرگ در آن شدند که به کاربران میداد اعتبارنامه جعلی واکسن کووید-۱۹ در NYS Excelsior Pass Wallet ایجاد و بعد آن را دریافت و ذخیره کنند تا اجازه دسترسی و استفاده از مکانهای عمومی مانند حضور در مراسمها و رویدادها را داشته باشند. این افراد بدون زدن واکسن میتوانستند اعتبارنامه دریافت واکسن داشته باشند.
محققان دریافتند که این برنامه اصلا اعتبار اطلاعات داده شده توسط کاربران را چک نمیکرده و اطلاعات را همه موثق در نظر میگرفته.
محققان نیویورکی در روز ۳۰ آوریل از این موضوع مطلع شدند آنها برای ماههای متمادی پیامهای هشدار محققان NCC Group را نادیده گرفته بودند و تنها در زمانی که این محققان در ماه جولای با مرکز فرماندهی سایبری NYS ITS Cyber تماس گرفتند؛ به صرافت بررسی موضوع افتادند.
وصله امنیتی که میتواند این مشکل را حل کند؛ روز ۲۰ آگوست منتشر شده. هنوز مقامات نیویورکی درباره این مشکل با رسانهها صحبت نکردهاند و هیچ اظهارنظری نداشتهاند.
اخیرا، محققان NCC Group تعداد زیادی از اپلیکیشنها را بررسی کردند تا میزان اعتماد کاربران به آنها یا شرایط امنیتی استفاده از آنها را ارزیابی کنند و متوجه شوند وضعیت حریم خصوصی کاربران در چنین سیستمهایی چقدر است و چگونه میتوان آن را تحت تاثیر قرار داد.
آنها ابتدا از اپلیکیشن NYS Excelsior Pass شروع میکنند؛ چون یکی از اولین اپهایی است که در سراسر ایالات متحده برای صدور اعتبارنامههای واکسن استفاده میشود.
آنها با استفاده از کاربران و محققانی که در نیویورک داشتند؛ سعی کردند امنیت و حریم خصوصی این سیستم را بررسی کنند. این تحقیق باعث شد که متوجه شوند کاربر به سادگی میتواند اطلاعات جعلی به سیستم بدهد و برای خودش یک اعتبارنامه دریافت واکسن صادر و بعد روی گوشی خود ذخیره کند.
محققان NCC Group با مهندسی معکوس اسمارتفونها و رهگیری ترافیک شبکه و کشف مشکلات احتمالی اپلیکیشن NYS Excelsior Pass مانند نشت اطلاعات، رمزنگاری ضعیف و سایر مسایل امنیتی رایج در این برنامهها موفق شدند آسیبپذیری اخیر را کشف کنند.
این برنامه به کاربران اجازه میدهد تا یک کیو آر کد (QR code) در گالری عکسها را برای افزودن اعتبار به کیف پول اسکن کنند.
افزایش تقاضاها برای کارت واکسن جعلی
بسیاری از مراکز عمومی از اپلیکیشنهای اسکنر عمومی استفاده نمیکنند یا نتایج را نادیده گرفته و به دادههای به ظاهر مشروع در دستگاه کاربران اعتماد میکنند و در نتیجه اجازه ورود افرادی را میدهند که واکسن کووید-۱۹ دریافت نکردند.
نسخه فعلی اپلیکیشن NYS Excelsior Wallet موجود در فروشگاهها دارای این آسیبپذیری نیست اما کاربرانی که ممکن است آخرین نسخه را دریافت نکرده باشند؛ هنوز بتوانند اعتبارنامه واکسن جعلی آپلود کنند.
براساس گزارشهای منتشر شده، میلیونها نفر در ایالات متحده دنبال دستیابی به کارت واکسن جعلی یا تاییدیههای دیجیتالی آن بودند تا وانمود کنند یکی از افرادی هستند که واکسن رایگان کووید-۱۹ را دریافت کردند.
گزارش ماه اوت موسسه Check Point Research نشان میدهد انواع تاییدیههای واکسن کووید-۱۹ با قیمتهای بسیار پایینی در وب تاریک به فروش میرسد اعتبارنامههای دیجیتالی کارت واکسن EU Digital COVID و CDC و NHS COVID تا ۱۰۰ دلار هم در وب تاریک خرید و فروش میشود. هزینه خرید این کارت واکسنها در ماه مارس حدود ۲۵۰ دلار بود.
این اعتبارنامهها به کاربران بسیاری از کشورها از جمله ایالات متحده، بریتانیا، آلمان، یونان، هلند، ایتالیا، فرانسه، سوئیس، پاکستان و اندونزی فروخته شدهاند.
در حالی تقاضا برای کارت واکسن و اعتبارنامههای دیجیتالی تاییدیه واکسن افزایش پیدا کرده است که در سراسر دنیا هزاران شرکت مشتریان خود را وادار میکنند پیش از ورود به دفتر یا مکانهای مشخص، اسناد واکسیناسیون کووید-۱۹ خود را نشان بدهند.
