澳洲广播公司报道称,Medicare App被曝存在“明显的”安全漏洞。通过这款免费的应用程序,10分钟之内就可以伪造出一份近乎完美的疫苗接种电子证明。
悉尼软件工程师Richard Nelson发现,Express Plus Medicare应用程序中存在一个“明显的”安全漏洞。
利用这个漏洞,他可以伪造数字接种证书,接种者姓名以及接种日期随便改。伪造的证书还带有旨在防伪的背景动画。
总理莫里森此前曾表示,这些证书是各州执行豁免政策时的一种“可靠且有效的”方式。
联邦以及州政府计划给与接种疫苗者更多的自由,但是这一漏洞可能会令这一计划受到影响。
(图片来源:ABC/摄影师:Services Australia)
上周的一天晚上,Nelson在使用Express Plus Medicare应用程序时发现,软件中当前使用的系统(两个多月前推出)存在安全漏洞。
“这是一个非常常见的漏洞。我认为肯定会有某种手段来阻止这种攻击,但并没有。”
有安全专家证实,这是一种“明显的”漏洞,在对软件进行基本的安全评估时就应该能被发现。
为了证明伪造数字接种证书有多么的容易,Nelson用了10分钟的时间制作了一张带有自己姓名的伪造证书。
“我觉得在反疫苗人群中传播这个消息可不是个好主意。没有有效接种证书的人可以很容易地出示一份伪造证书,内容随便填,”Nelson说道。
安全漏洞会被修复吗?
Nelson向政府报告了自己发现的安全漏洞,但尚未收到任何回复。
负责数据和数字政策的就业部长Stuart Robert的发言人表示,政府已经“多次更新了疫苗接种证书。政府将继续更新……包括更新更多的安全措施。”
从这份回应来看,目前尚不清楚政府是否会修补这个漏洞(这需要更新Medicare应用程序)。
基本的安全评估就能发现漏洞
澳洲广播公司报道称,此次被曝出的安全漏洞与议员Rex Patrick本月早些时候发现的另外一个漏洞有所不同。
此前,Patrick利用“几个图形工具”就伪造了PDF格式的接种证书。
Rex Patrick(图片来源:ABC/摄影师:Matthew Doran)
不过,从Nelson贴出的视频中可以看到,他发现的伪造出来的证书更复杂些,还包含一些防伪特征。
Nelson表示,安全审计中“绝对”提出过这个的漏洞,要么就是没有进行安全审计。
这已经不是经验丰富的软件开发人员Nelson第一次在政府的IT系统中发现漏洞。
去年,他就与其它一些行业人士发现COVIDSafe应用存在一些问题。比如,无法在苹果手机锁屏后正常运行。
科技界的另一位知名成员、数据安全专家Vanessa Teague表示,在COVIDSafe程序出现问题后,Medicare应用程序被曝漏洞并不令人意外。
“哦,是的,修复那个漏洞很容易,只要5分钟,”Teague说道。
“接种证书需要二维码数字签名”
Teague还说,疫苗接种证书还存在一个更大的安全问题。
其他一些设计,例如欧盟使用的设计,具有二维码形式的数字签名,可以验证真伪,防止欺诈。这样的证书更难被伪造。
欧盟版数字接种证书(图片来源:ABC/摄影师: Artur Widak)
“他们必须实施一些类似于欧盟的设计。必须要有一些加密方式来验证接种证书上的信息是否正确。”
莫里森已表示,将在10月对疫苗数字接种证书进行全面改革。不过,尚不清楚新版本是否仅用于国际旅行,或者是否会与现有版本的疫苗证书共同使用。
7 月初,负责实施各种数字健康计划的法定机构澳洲数字卫生署(Australian Digital Health Agency)发布了一份有关用于存储数字疫苗接种证书以及COVID-19检测结果的手机应用程序招标书。
拟议的移动应用程序将“在2021年12月之前”准备就绪,并具有“多重身份验证和反欺诈功能”。
(Gleen)
专题:新冠肺炎疫情扩散来澳进入专题 >>
联邦首席医疗官:无论新州疫情如何,只要接种率达标,澳洲就可以重开(组图) 0条评论 DailyMail 澳洲妈妈购物后发现了一张“交通罚单”!打开后却收获意外感动...(组图) 0条评论 墨尔本妈妈帮 维州州长回应专家“软封锁”建议,墨市地区年轻男性被呼吁受检(组图) 0条评论 TheAge澳洲中文论坛热点
- 悉尼部份城铁将封闭一年,华人区受影响!只能乘巴士(组图)
- 据《逐日电讯报》报导,从明年年中开始,因为从Bankstown和Sydenham的城铁将因Metro South West革新名目而
- 联邦政客们具有多少房产?
- 据本月早些时分报导,绿党副首领、参议员Mehreen Faruqi已获准在Port Macquarie联系其房产并建造三栋投资联