تقلب برای چه؟ تاییدیه تزریق واکسن کرونا در وب تاریک 100 دلار فروخته می گردد و مشکل امنیتی یک اپلیکیشن صدور تاییدیه واکسیناسیون باعث جعل گسترده کد QR تزریق شده - وبلاگ باران علم

به گزارش وبلاگ باران علم، مقامات نیویورک می گویند مشکل Excelsior Pass Wallet را رفع نموده اند. این برنامه کیف پول به کاربران اجازه می دهد اعتبارنامه واکسن کووید-19 را دریافت و روی گوشی خود ذخیره نمایند تا بتوانند از آن برای اجازه حضور در مکان های عمومی مختلف استفاده نمایند.

نخست، محققان NCC Group متوجه یک باگ امنیتی و آسیب پذیری مهم و عظیم در آن شدند که به کاربران می داد اعتبارنامه جعلی واکسن کووید-19 در NYS Excelsior Pass Wallet ایجاد و بعد آن را دریافت و ذخیره نمایند تا اجازه دسترسی و استفاده از مکان های عمومی مانند حضور در مراسم ها و رویدادها را داشته باشند. این افراد بدون زدن واکسن می توانستند اعتبارنامه دریافت واکسن داشته باشند.

محققان دریافتند که این برنامه اصلا اعتبار اطلاعات داده شده به وسیله کاربران را چک نمی نموده و اطلاعات را همه موثق در نظر می گرفته.

محققان نیویورکی در روز 30 آوریل از این موضوع آگاه شدند آنها برای ماه های متمادی پیغام های هشدار محققان NCC Group را نادیده گرفته بودند و تنها در زمانی که این محققان در ماه جولای با مرکز فرماندهی سایبری NYS ITS Cyber تماس گرفتند؛ به صرافت آنالیز موضوع افتادند.

وصله امنیتی که می تواند این مشکل را حل نماید؛ روز 20 آگوست منتشر شده. هنوز مقامات نیویورکی درباره این مشکل با رسانه ها صحبت ننموده اند و هیچ اظهارنظری نداشته اند.

اخیرا، محققان NCC Group تعداد زیادی از اپلیکیشن ها را آنالیز کردند تا اندازه اعتماد کاربران به آن ها یا شرایط امنیتی استفاده از آن ها را ارزیابی نمایند و متوجه شوند شرایط حریم خصوصی کاربران در چنین سیستم هایی چقدر است و چگونه می توان آن را تحت تاثیر قرار داد.

آن ها ابتدا از اپلیکیشن NYS Excelsior Pass آغاز می نمایند؛ چون یکی از اولین اپ هایی است که در سراسر ایالات متحده برای صدور اعتبارنامه های واکسن استفاده می گردد.

آن ها با استفاده از کاربران و محققانی که در نیویورک داشتند؛ سعی کردند امنیت و حریم خصوصی این سیستم را آنالیز نمایند. این تحقیق باعث شد که متوجه شوند کاربر به سادگی می تواند اطلاعات جعلی به سیستم بدهد و برای خودش یک اعتبارنامه دریافت واکسن صادر و بعد روی گوشی خود ذخیره کند.

محققان NCC Group با مهندسی معکوس اسمارت فون ها و رهگیری ترافیک شبکه و کشف مسائل احتمالی اپلیکیشن NYS Excelsior Pass مانند نشت اطلاعات، رمزنگاری ضعیف و سایر مسایل امنیتی رایج در این برنامه ها پیروز شدند آسیب پذیری اخیر را کشف نمایند.

این برنامه به کاربران اجازه می دهد تا یک کیو آر کد (QR code) در گالری عکس ها را برای افزودن اعتبار به کیف پول اسکن نمایند.

افزایش تقاضاها برای کارت واکسن جعلی

بسیاری از مراکز عمومی از اپلیکیشن های اسکنر عمومی استفاده نمی نمایند یا نتایج را نادیده گرفته و به داده های به ظاهر مآغاز در دستگاه کاربران اعتماد می نمایند و در نتیجه اجازه ورود افرادی را می دهند که واکسن کووید-19 دریافت نکردند.

نسخه فعلی اپلیکیشن NYS Excelsior Wallet موجود در فروشگاه ها دارای این آسیب پذیری نیست اما کاربرانی که ممکن است آخرین نسخه را دریافت ننموده باشند؛ هنوز بتوانند اعتبارنامه واکسن جعلی آپلود نمایند.

براساس گزارش های منتشر شده، میلیون ها نفر در ایالات متحده دنبال دستیابی به کارت واکسن جعلی یا تاییدیه های دیجیتالی آن بودند تا وانمود نمایند یکی از افرادی هستند که واکسن رایگان کووید-19 را دریافت کردند.

گزارش ماه اوت موسسه Check Point Research نشان می دهد انواع تاییدیه های واکسن کووید-19 با قیمت های بسیار پایینی در وب تاریک به فروش می رسد اعتبارنامه های دیجیتالی کارت واکسن EU Digital COVID و CDC و NHS COVID تا 100 دلار هم در وب تاریک خرید و فروش می گردد. هزینه خرید این کارت واکسن ها در ماه مارس حدود 250 دلار بود.

این اعتبارنامه ها به کاربران بسیاری از کشورها از جمله ایالات متحده، بریتانیا، آلمان، یونان، هلند، ایتالیا، فرانسه، سوئیس، پاکستان و اندونزی فروخته شده اند.

در حالی تقاضا برای کارت واکسن و اعتبارنامه های دیجیتالی تاییدیه واکسن افزایش پیدا نموده است که در سراسر جهان هزاران شرکت مشتریان خود را وادار می نمایند پیش از ورود به دفتر یا مکان های معین، اسناد واکسیناسیون کووید-19 خود را نشان بدهند.