Nouvelles

Applications Corona: les chercheurs signalent des lacunes en matière de sécurité


Les applications d'avertissement Corona ne sont pas assez sûres

Une application d'avertissement Corona sera bientôt disponible en Allemagne. Avec leur aide, les personnes ayant été en contact avec le COVID-19 infecté peuvent être informées plus tôt et plus précisément du risque d'infection, explique le centre de consommation. Dans d'autres pays, ces applications sont utilisées depuis longtemps. Mais les chercheurs font désormais état de la protection des données et des risques de sécurité.

Des scientifiques britanniques ont récemment découvert dans une étude que les applications d'alerte corona peuvent aider à ralentir considérablement la propagation du COVID-19. Malheureusement, ces applications ne sont probablement pas suffisamment sûres. Une équipe de recherche allemande y voit encore un potentiel d'amélioration clair.

L'application devrait aider à maîtriser la pandémie corona

L'application allemande Corona Warning est "un moyen efficace d'aider à maîtriser la pandémie Corona", a déclaré le porte-parole du gouvernement Steffen Seibert.

«La protection de la vie privée est ici la priorité absolue», a déclaré Seibert sur le site Web du gouvernement fédéral.

Mais apparemment, il y a encore des lacunes en matière de sécurité et de protection des données. Selon une annonce en cours, une équipe de recherche de l'Université technique de Darmstadt, de l'Université de Marburg et de l'Université de Würzburg a récemment démontré et pratiquement démontré en matière de protection des données et de sécurité des risques de la spécification de l'approche proposée par Google et Apple pour les applications corona dans des conditions réalistes. approuvé.

L'application allemande d'alerte Corona développée par Deutsche Telekom et SAP pour le compte du gouvernement allemand est basée sur cette approche. Les applications de suivi des contacts suisses et italiennes utilisent également cette plateforme.

Profils de mouvement détaillés des personnes infectées

À travers des expériences sur des scénarios réels, les chercheurs ont montré que les risques théoriquement connus peuvent être exploités à l'aide de moyens techniques courants.

D'une part, un attaquant externe peut créer des profils de mouvement détaillés des personnes infectées par le nouveau coronavirus SARS-CoV-2 et, dans certaines circonstances, identifier les personnes touchées.

D'autre part, un attaquant est capable de manipuler les informations de contact collectées via des attaques dites de relais, ce qui peut affecter la précision et la fiabilité de l'ensemble du système de suivi des contacts.

Identification des cycles d'infection

Selon les experts, les applications de suivi des contacts sur les appareils mobiles promettent la possibilité de réduire considérablement l'effort manuel pour identifier les cycles d'infection et d'augmenter la couverture du suivi des contacts.

L'une des suggestions de suivi des contacts les plus connues à l'heure actuelle provient de la collaboration des sociétés américaines Google et Apple. Il est prévu que les deux groupes intègrent cette nouvelle fonctionnalité standard dans leurs systèmes d'exploitation mobiles respectifs, Android et iOS.

Certains pays, dont l'Allemagne, ont déjà choisi cette approche dans leurs projets nationaux d'identification numérique des personnes de contact.

Les emplacements sensibles des sujets de test pourraient être identifiés

Le point de départ des expériences menées par les experts en sécurité informatique des trois universités a été précédemment publié des rapports sur les risques potentiels de protection des données et de sécurité en relation avec les développements du soi-disant «Google Apple Protocol» (GAP).

Les scientifiques ont testé si les attaques conceptuellement décrites peuvent être menées dans la pratique. Selon les informations, les expériences montrent que GAP est d'une part vulnérable à la création de profils et peut donc permettre la désanonymisation des personnes infectées.

D'autre part, des attaques dites de relais ou de trou de ver sont également possibles dans GAP, ce qui signifie que les attaquants peuvent générer des informations de contact incorrectes et donc la précision et l'exactitude de l'ensemble du système en souffrent.

Selon l'annonce, l'équipe de recherche a mis en œuvre les attaques à l'aide d'outils peu coûteux disponibles dans le commerce tels que les renifleurs Bluetooth (en tant qu'application sur les smartphones ou Raspberry Pis), qui peuvent également être utilisés dans des environnements mobiles.

La mise en œuvre de l'approche GAP n'étant pas encore disponible pour la communauté scientifique au sens large, les chercheurs ont construit les attaques sur la base de spécifications publiées antérieurement.

Les résultats ont montré que lorsque des capteurs stratégiquement placés sont utilisés sur des smartphones dans une certaine zone, les mouvements des personnes infectées, simulés par des personnes testées, peuvent être reconstitués en détail.

Cela a également permis d'identifier les allées et venues sensibles des sujets de test et d'éventuelles relations sociales entre eux.

Potentiel d'amélioration clair

La vulnérabilité de GAP aux attaques dites de relais ou de trou de ver révèle également des faiblesses. Comme indiqué dans l'annonce, cette méthode permet à un attaquant de collecter les soi-disant identifiants d'utilisateur Bluetooth, qui sont générés par une application de suivi des contacts, et de les transmettre à des endroits plus éloignés sans se faire remarquer.

Entre autres, les identifiants Bluetooth pourraient être transmis avec succès entre deux villes distantes de 40 kilomètres.

Cela pourrait permettre à un attaquant de compromettre le système de suivi des contacts dans son ensemble en dupliquant par erreur des informations sur la présence de personnes infectées dans de nombreux endroits, ce qui pourrait entraîner une augmentation significative des fausses alarmes sur le risque potentiel d'infection.

Dans l'ensemble, l'équipe de recherche voit toujours un potentiel d'amélioration significatif pour l'approche proposée par Google et Apple pour les applications corona.

Une description détaillée des expériences et de leurs résultats peut être trouvée dans le rapport d'étude complet sur «arXiv.org», un serveur de documents pour les pré-impressions des domaines de la physique, des mathématiques, de l'informatique, des statistiques, des mathématiques financières et de la biologie. (un d)

Informations sur l'auteur et la source

Ce texte correspond aux spécifications de la littérature médicale, des directives médicales et des études en cours et a été vérifié par des médecins.

Se gonfler:

  • Université technique de Darmstadt: applications d'avertissement Corona: déficits de sécurité, (consulté le 14 juin 2020), Université technique de Darmstadt
  • Lars Baumgärtner, Alexandra Dmitrienko, Bernd Freisleben, Alexander Gruler, Jonas Höchst, Joshua Kühlberg, Mira Mezini, Markus Miettinen, Anel Muhamedagic, Thien Duc Nguyen, Alvar Penning, Dermotik Pustelnik, Filipp Roos, Ahmad-Christian Reza S Uhl: Attention aux lacunes: risques de sécurité et de confidentialité des applications de suivi des contacts; sur: arXiv.org, (publié: 10.06.2020), arXiv.org
  • Centre de conseil aux consommateurs: avertissement Corona via l'application: questions et réponses sur l'application de traçage prévue, (consulté le 14 juin 2020), centre de conseil aux consommateurs
  • Gouvernement fédéral: application d'avertissement Corona: un porte-parole du gouvernement répond à vos questions (consulté le 14 juin 2020), gouvernement fédéral


Vidéo: New World Order Membership Application. ASMR (Juin 2021).