DTA ثابت COVIDSafe بلوتوث آسیب پذیری 21 روز پس از آن مطلع شد

محققان استرالیایی را منتشر یافته است که میبینم بیشتر سوراخ به دولت فدرال coronavirus تماس با ردیابی برنامه COVIDSafe.

Coronavirus

جیم Mussared از جورج رباتیک و Alwen Tiu از دانشگاه ملی استرالیا را برجسته کرده اند یک "سکوت جفت شدن موضوع" بلوتوث تماس مبتنی بر ردیابی نرم افزار این بار در آندروید.

"این آسیب پذیری اجازه می دهد تا حمله به باند در سکوت با یک تلفن آندروید در حال اجرا یک نسخه آسیب پذیر از برنامه. فرآیند پیوند شامل مبادلات دائمی شناسه قربانی تلفن: هویت آدرس دستگاه بلوتوث در گوشی و یک کلید رمزی به نام هویت حل کلیدی (IRK). یا یکی از این شناسه می توان برای مدت طولانی ردیابی گوشی" آنها نوشت.

توضیح این جفت ارز را یافته Mussared روز جمعه گفت: این موضوع اجازه می دهد تا حمله به سکوت جفت با یک کاربر تلفن در حالی که آن را در حال اجرا COVIDSafe.

"هنگامی که زوج این اجازه می دهد تا آنها را به طور دائم پیگیری تلفن حتی پس از COVIDSafe حذف شده است و حتی اگر تلفن تنظیم مجدد کارخانه. راه آن این است که با افشای بلوتوث مک آدرس که پاسخ به L2CAP درخواستهای," او اضافه شده در یک صدای جیر جیر.

"به طور معمول شما فقط یک گوشی 'تصادفی' فرماید آدرس خصوصی که تغییرات در یک فاصله زمانی منظم که در آن هویت و نشانی که جفت در معرض ثابت است برای طول عمر گوشی. اما چه چیز دیگری شما می توانید با یک تلفن هویت مک آدرس؟"

موضوع گزارش شد به دیجیتال تغییر و تحول سازمان (DTA) 45 روز پیش و ثابت شد در COVIDSafe 1.0.18 انتشار -- 24 روز پیش.

"این *واقعا* بزرگ که DTA بود قادر به پیدا کردن یک راه حل برای این نگرانی من این است که طراحی COVIDSafe لزوما بستگی به استفاده از بلوتوث در یک راه است که آن را طراحی نشده-یعنی اتصال به هر غیر قابل اطمینان دستگاه است که اتفاق می افتد به در برد," او توضیح داد.

"این موضوع یک نتیجه از با استفاده از اپل/گوگل قرار گرفتن در معرض اطلاع رسانی API. اگر EN API استفاده شده بود به جای ما می تر و کاربردی تر و قابل اعتماد و امن تر و قابل اعتماد نرم افزار" او همچنین در توییتی.

در حالی که نسخه محلی ثابت شده است که این آسیب پذیری ممکن است چند تماس دیگر ردیابی نرم افزار که به اشتراک گذاری یک معماری مشابه مانند سنگاپور TraceTogether و آلبرتا ABTraceTogether جفت ارز گفت.

یک شبه انگلستان تصمیم به خندق خود قرارداد-ردیابی برنامه خواهد بود و به جای تکیه بر گوگل و اپل رابط های برنامه کاربردی.

"در حالی که آن را هنوز رتبهدهی نشده است در حال حاضر یک راه حل عملی در این مرحله یک برنامه مبتنی بر گوگل/اپل API به نظر می رسد به احتمال زیاد برای رسیدگی به برخی از محدودیت های خاص شناسایی شده از طریق ما در زمینه تست" انگلستان وزارت بهداشت و مراقبت اجتماعی گفت.

"هنوز هم وجود دارد که کار بیشتری برای انجام در گوگل/اپل راه حل است که در حال حاضر برآورد فاصله در راه مورد نیاز است."

اوایل این هفته بود که نشان داد DTA می دانستند که COVIDSafe شديد نقص, با وجود ارسال آن را برای استفاده عمومی در 26 مارس سال 2020 است.

اسناد منتشر شده توسط آژانس نشان داد که بلوتوث برخورد با ورود آزمایشات انجام شده در روز برنامه رفتن زندگی می کنند نشان داد قفل شده اپل آی فون X برای آیفون 6 به طور خاص بودند انتقال داده ها در یک "فقیر" امتیاز -- 25 ٪ و یا کمتر.

آن را به دنبال نرم افزار مهندس ریچارد نلسون انتشارات پژوهش نشان داد که قفل شده اپل عملا بی فایده است که آن را به ورود به سیستم از طریق برخوردهای COVIDSafe.

او گفت: قفل آیفون با یک ID منقضی شده نمی تواند ایجاد یک ID جدید و بدون شناسه, دستگاه ضبط دستگاه های دیگر در اطراف آن, اما آن را نمی تواند ثبت شده توسط دیگران است.

"یک دستگاه در این دولت ضبط خواهد شد مردم دیگر در اطراف آن, اما نمی خواهد ثبت شده توسط دیگران است. اگر همه دستگاه های مربوطه در این حالت هیچ برخوردهای وارد," او نوشت.

"یک نفر می تواند تصور کنید آلیس بسته بندی کیسه و قرار دادن آی فون خود را و بیرون رفتن به صورت روز به یک بازی فوتبال است. با دستگاه در این حالت هیچ کس دیگری ضبط خواهد شد حضور او و اگر کسی در اطراف او آزمایش مثبت او نمی خواهد تماس گرفته شود."

این DTA گفت: ممکن است که عملکردی و تست عملکرد انجام شده برای iOS اپل و آندروید گوگل نسخه از COVIDSafe برنامه قبل از انتشار.

آن گفت: 179 آزمون عملکردی انجام شد از جمله بلوتوث برخوردهای بین دستگاه های مختلف انواع در کشورهای مختلف از جمله تلفن قفل شده و قفل و نرم افزار باز بودن و باز نمی شود.

"همه آزمون راضی پایه طراحی الزامات" را DTA گفت. "تست عملکرد نیز انجام شده علیه ویژگی های مورد نیاز است."

این DTA قبلا گفته ZDNet آن را همچنان به بازخورد در COVIDSafe از توسعه جامعه با قبلی بازخورد کمک DTA برای بهبود برنامه.

"این DTA ادامه خواهد داد به انتشار به روز رسانی به COVIDSafe برنامه به ارائه طیف وسیعی از عملکرد و امنیت و دسترسی به پیشرفت های به عنوان مورد نیاز است ، "استرالیا در جامعه می تواند اعتماد به نفس این نرم افزار کار ایمن و موثر با وجود عدم جامعه انتقال COVID-19.

همانطور که از جمعه 12 ژوئن سال 2020 بیش از 6.3 میلیون استرالیایی را دانلود کرده این برنامه است.

در جای دیگر آلمان "کرونا-هشدار" نرم افزار تبلیغ 6.5 میلیون دانلود ثبت شده در 24 ساعت-حدود 7.8 درصد از جمعیت کشور.

بیشتر در COVIDSAFE



tinyurlis.gdv.gdv.htu.nuclck.ruulvis.netshrtco.detny.im