Bir ABD Koleji tarafından kullanılan kusurlu bir iletişim izleme uygulaması ortaya çıktı!

Yazar: Buse Yıldız
72 Görüntülenme

Söz konusu güvenlik sorunları zorunlu uygulama ile keşfedildi!

Albion College, Haziran ayında yeniden açılacağını açıkladığında, azaltılmış ders boyutları ve personel ve öğrenciler için virüs testleri de dahil olmak üzere COVİD-19’un yayılmasını azaltmaya yardımcı olmak için bir dizi sağlık önlemi alacağını söyledi. Ancak Techcrunch’ın yeni bir soruşturmada bildirdiği gibi, bir dizi gizlilik sorunu olan zorunlu bir iletişim izleme uygulaması da tanıttı. Rapor, bu uygulamaların ve bunları tanıtan kurumların karşılaştığı sorunları vurgulamaktadır ve bir vaka çalışması olarak okumaya değer.

Aura adı verilen uygulama, bir öğrenci virüs için pozitif test yaptığında okulu uyarmak ve öğrencilere sahip olan başka biriyle ne zaman temas kurduklarını bildirmek için tasarlanmıştır. Ancak, bir kişinin ne zaman gerçekleştiğini söylemek için yerel Bluetooth yakınlık sinyallerine güvenmek yerine (Apple ve Google sisteminin yaptığı gibi), aura bunun yerine gizlilik sorunları yaratmak için eleştirilen bir uygulama olan konum verilerini kullanır. Genel olarak gizlilik için kötü olmasının yanı sıra, bu yaklaşım aynı zamanda kolejin öğrencilerin nereye gittiğini takip edebileceği ve hareketlerine kısıtlamalar getirebileceği anlamına gelir:

Uygulamayı yüklemek zorunda kalmanın yanı sıra, öğrencilere, daha geniş bir toplulukla temasın virüsü kampüse geri getirebileceğinden korkarak, izinsiz olarak bir dönem boyunca kampüsten ayrılmalarına izin verilmediği söylendi.

Bir öğrenci izinsiz kampüsten ayrılırsa, uygulama okulu uyaracak ve öğrencinin kimlik kartı Kilitlenecek ve TechCrunch tarafından görülen öğrencilere bir e-postaya göre kampüs binalarına erişim iptal edilecektir.

Soruşturmalar ayrıca diğer kasıtsız gizlilik hatalarını da ortaya çıkardı. Uygulamanın arka uç sunucuları için gizli anahtarlar, uygulamanın kodunda bulundu ve bir araştırmacının uygulamanın veritabanlarında ve bulut depolama alanında saklanan hasta verilerine erişmesine izin verdi. TechCrunch ayrıca, birisinin virüs için negatif test edip etmediğini doğrulamak için tasarlanmış olan uygulamanın ürettiği QR kodlarıyla ilgili bir sorun keşfetti.

Ağ analiz aracımız, QR kodunun cihazda değil, Aura web sitesinin gizli bir bölümünde oluşturulduğunu gösterdi. QR kodunu oluşturan web adresi, uygulamadan görünmeyen Aura kullanıcısının hesap numarasını içeriyordu. Web adresindeki hesap numarasını tek bir rakamla artırırsak veya azaltırsak, o kullanıcının Aura hesabı için bir QR kodu oluşturur.

Başka bir deyişle, başka bir kullanıcının QR kodunu görebildiğimiz için, öğrencinin tam adını, COVID-19 test sonucu durumunu ve öğrencinin hangi tarihte sertifikalandırıldığını veya reddedildiğini de görebiliriz.

Bu en korkunç sorunlar o zamandan beri uygulama geliştiricileri tarafından giderilmiş olsa da, TechCrunch tarafından alıntılanan bir güvenlik araştırmacısı, uygulamanın “acele bir iş ” olduğuna işaret ettiklerini söyledi.”Olay, temas izleme yazılımının dünyadaki diğer kurumlarda kullanıma sunulmasıyla ilgili ciddi soruları gündeme getiriyor ve Techcrunch’ın soruşturması, neden olabileceği sorunlara önemli bir ışık tutuyor.

Related Posts

Yorum Bırak