Post Top Ad

Your Ad Spot

miércoles, 6 de mayo de 2020

Aarogya Setu Hack: la aplicación es vulnerable a la fuga de datos confidenciales de COVID-19

Mientras continúa el debate sobre por qué la India obliga a sus ciudadanos a instalar la aplicación Aarogya Setu , continúa una historia interesante sobre las preocupaciones de privacidad de su uso. Un hacker en Twitter con el nombre de Elliot Alderson  acaba de detallar cómo la aplicación Aarogya Setu está filtrando los datos de la aplicación, que consiste en una serie de detalles sobre el recuento de personas infectadas, enfermas, probadas y usando la aplicación que te rodea. Al insertar algunas funciones, afirma que cualquiera puede saber quién está infectado en cualquier lugar de la India, en el área de su elección.
Aarogya Setu Hack
Aarogya Setu Hack
La aplicación de rastreo de contactos COVID-19 de India, Aarogya Setu, es infame por ser agresiva por el gobierno gobernante y por las acusaciones de los partidos opositores por ser una herramienta de vigilancia. Mientras los políticos participan en una pelea de perros por esto, un pirata informático llamado Elliot Alderson, quien previamente descubrió la débil seguridad del sistema Aadhaar de la India, ¡ahora ha vuelto a presentar los mismos reclamos en la aplicación Aarogya Setu!

Defectos que permiten el acceso interno

Según su publicación de blog mediana, detalló cómo cualquiera puede conocer la ubicación precisa de una persona infectada en cualquier lugar de la India, desde cualquier lugar. Primero descubrió un problema de error el 3 de abril, solo dos días después del lanzamiento de la aplicación. Esto se refiere a una WebViewActivity que está más relacionada con las páginas web. Pero, un análisis más profundo revela que puede activar el marcador y marcar previamente un número.
Elliot Alderson@fs0c131y
En respuesta a @fs0c131y
I wanted to check something before going to bed. I can use this "issue" to access my authToken. I will record a small video https://twitter.com/fs0c131y/status/1246217727913705472?s=20 
Elliot Alderson@fs0c131y
En respuesta a @fs0c131y
Lol
Video insertado
Elliot Alderson@fs0c131y
It can be considered as a security issue 😁
Video insertado
680
18:45 - 3 abr. 2020
Información y privacidad de Twitter Ads
222 personas están hablando de esto
Además, la aplicación no realiza una validación de host adecuada, lo que permite que cualquiera acceda a los archivos internos relacionados con COVID-19 recopilados por la aplicación. Lo demostró a través de una prueba de video, y las autoridades indias lo eliminaron en su próxima actualización.

Defectos al recuperar más datos de los requeridos

Pero la próxima actualización le ha dado a Elliot más diversión. ¡La versión 1.1.1 de Aarogya Setu, que Elliot probó en un teléfono rooteado el 4 de mayo, le ha dado la capacidad de saber quién está enfermo en cualquier lugar de la India! Esto sucedió cuando omitió la función de fijación de certificados, para monitorear las solicitudes de tráfico realizadas por la aplicación. Y estos hallazgos revelaron mucho más de lo necesario.
Una característica de la aplicación Aarogya Setu les permite a los usuarios saber cuántos han realizado la prueba de autoevaluación dentro de su área. Y este límite de región se puede establecer en cinco rangos como 500 m, 1 km, 2 km, 5 km o 10 km. Al elegir un rango de distancia, la ubicación precisa del usuario (coordenadas de latitud y longitud) y el radio (rango) establecido por él se enviarán a los servidores del gobierno para devolver el recuento de datos de las pruebas de autoevaluación solicitadas.
Pero, está recuperando mucho más de lo solicitado. Los datos que Elliot (o cualquiera) puede obtener es
  • Número de personas enfermas,
  • Numero de personas infectadas
  • Número de personas declaradas como Bluetooth positivas,
  • Número de autoevaluaciones realizadas a su alrededor y;
  • El número de personas que usan la aplicación que te rodea.
Lo último que Elliot siguió es establecer el rango manualmente de su elección, que no está disponible en la aplicación. Y funcionó. Estableció un rango de 100 km y obtuvo la información como se dijo. Además, uno también puede establecer su ubicación como lo deseen. Elliot siguió su ubicación en Nueva Delhi y obtuvo los resultados como se afirma. Por último, dice que se trata de una violación grave de la privacidad y que se debe solucionar.

Aunque el ministro de TI aseguró previamente que la aplicación es segura, pequeños ajustes en el código del proyecto pueden brindarle detalles precisos sobre COVID-19 de cualquier persona en India ahora. Elliot ahora incluso está pidiendo al gobierno indio que haga público el código fuente de la aplicación Aarogya Setu, tal como lo hicieron otras naciones.

No hay comentarios.:

Publicar un comentario

Dejanos tu comentario para seguir mejorando!

outbrain

Páginas