Coronavirus: rilevate violazioni della sicurezza nell’applicazione di tracciamento dei contatti del servizio sanitario nazionale

Copyright dell’immagine
Getty Images

Sono state scoperte violazioni della sicurezza su larga scala nell’applicazione di tracciamento dei contatti di coronavirus in fase di sperimentazione sull’Isola di Wight.

il ricercatori della sicurezza coinvolti hanno avvertito di problemi comportare rischi per la privacy degli utenti e potrebbero essere utilizzati in modo improprio per impedire l’invio di avvisi di contagio.

Il National Cybersecurity Center (NCSC) del GCHQ ha riconosciuto i problemi e ha promesso di risolverli e indagarne altri.

Ma i ricercatori suggeriscono che è necessario un pensiero più fondamentale.

In particolare, stanno chiedendo nuove protezioni legali per impedire ai funzionari di utilizzare i dati per scopi diversi dall’identificazione di quelli a rischio di infezione o dal mantenimento a tempo indeterminato.

Inoltre, suggeriscono che il servizio sanitario nazionale intende passare dal suo attuale modello “centralizzato” – in cui la corrispondenza dei contatti si verifica su un server di computer – a una versione “decentralizzata” – in cui la corrispondenza si verifica invece sui telefoni. persone.

“Ci possono sempre essere bug e falle nella sicurezza nei modelli decentralizzati o centralizzati”, ha affermato la direttrice generale della Cybersecurity Dr. Vanessa Teague.

“Ma la grande differenza è che una soluzione decentralizzata non avrebbe un server centrale con i recenti contatti faccia a faccia di ogni persona infetta.

“Quindi c’è un rischio molto più basso di perdita di dati o uso improprio di questo database.”

Il segretario alla Sanità Matt Hancock ha dichiarato lunedì che una nuova legge “non è necessaria perché la legge sulla protezione dei dati farà il trucco”.

E NHSX – l’unità di innovazione digitale del servizio sanitario – ha affermato che l’uso del modello centralizzato faciliterebbe nel tempo il miglioramento dell’app e innescherebbe avvisi basati sui sintomi autodiagnostici delle persone solo sui risultati dei test medici.

La riproduzione multimediale non è supportata sul tuo dispositivo

Didascalia dei mediaGuarda: che cos’è il monitoraggio dei contatti e come funziona?

Rischi vari

I ricercatori descrivono in dettaglio sette diversi problemi riscontrati con l’app.

Loro capiscono:

  • punti deboli nel processo di registrazione che potrebbero consentire agli aggressori di rubare chiavi di crittografia, che potrebbero impedire agli utenti di essere avvisati se un contatto è positivo per Covid-19 e / o generare trasmissioni fraudolente per creare registri eventi di falsi contatti
  • memorizzare i dati non crittografati sui portatili che possono essere utilizzati dalle forze dell’ordine per determinare quando due o più persone hanno incontrato
  • generare un nuovo codice di identificazione casuale per gli utenti una volta al giorno anziché una volta ogni 15 minuti, come nel caso di un modello rivale sviluppato da Google e Apple. Il divario più lungo teoricamente ti consente di determinare se un utente ha una relazione con un collega o incontra qualcuno dopo il lavoro, si suggerisce

“Complessivamente, i rischi sono vari”, ha dichiarato al BBC News il dott. Chris Culnane, secondo autore del rapporto.

“Per quanto riguarda i problemi di registrazione, il rischio è piuttosto basso in quanto richiederebbe un attacco contro un server ben protetto, che riteniamo non sia particolarmente probabile.

“Ma il rischio di dati non crittografati è maggiore, perché se qualcuno dovesse avere accesso al tuo telefono, potrebbe essere in grado di apprendere ulteriori informazioni a causa di ciò che è memorizzato lì.”

Direttore tecnico NCSC Ian Levy blogging ringraziando i due ricercatori per il loro lavoro e promettendo di affrontare i problemi hanno identificato.

Ma ha detto che potrebbero essere necessarie più versioni dell’app prima che tutti i problemi vengano risolti.

“Tutto ciò che viene segnalato alla squadra verrà correttamente ordinato (anche se ci vorrà più tempo del normale)”, ha scritto.

Un portavoce dell’NCSC ha dichiarato: “Si sperava sempre che misure come la pubblicazione del codice e la spiegazione delle decisioni alla base dell’applicazione generassero discussioni costruttive con la comunità della sicurezza e della privacy.

“Non vediamo l’ora di continuare a lavorare con i ricercatori della sicurezza e della crittografia per rendere l’applicazione la migliore possibile.”

Copyright dell’immagine
Getty Images

Leggenda

I residenti dell’isola di Wight testano l’app NHS Covid-19 prima della distribuzione nazionale pianificata

Ma il dott. Culnane ha affermato che anche i politici devono riconsiderare la questione.

“Sono sicuro che risolveranno i problemi tecnici”, ha detto.

“Ma ci sono problemi più ampi riguardo alla mancanza di una legislazione che protegge l’uso di questi dati [including the fact] non esiste un limite rigoroso per la cancellazione dei dati.

“Ciò contrasta con l’Australia, che ha limiti molto severi per la cancellazione dei dati delle sue applicazioni alla fine della crisi”.

Nel frattempo, Harriet Harman, che presiede la commissione per i diritti umani del Parlamento, ha annunciato che sta cercando il permesso di presentare una proposta di legge di un membro privato per limitare chi potrebbe utilizzare i dati raccolti dall’app. e come e come creare un cane da guardia per gestire i reclami pubblici correlati.

“Personalmente, scaricherei l’app da solo, anche se ho delle preoccupazioni sull’uso dei dati”, ha detto il parlamentare laburista alla BBC News.

“Ma il punto di vista della mia commissione era che questa applicazione non avrebbe dovuto [the government] è disposto a mettere in atto protezioni della privacy. “

Avatar

Accardi

Accardi è un produttore digitale di Dico News con sede in Italia. Copre le ultime notizie e scrive sulla regione di Itlay, con particolare attenzione ai diritti umani. Prima di entrare a far parte di Dico News nel 2018, Accardi è stato redattore e scrittore presso TEME e produttore di video per i media in esilio in Myanmar.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *