數十個COVID護照應用程式使用戶隱私面臨風險

因應新冠肺炎疫情,各國積極推動數位疫苗護照,儲存個人姓名、身分證字號、出生日期及COVID-19疫苗接種狀態證明等資訊,並透過應用程式編碼QR Code或直接顯示相關資訊,便於使用者進出公共場所時,出示QR Code或疫苗接種證明。賽門鐵克公司調查40個數位疫苗接種應用程式與10個驗證程式,發現部分應用程式存在使用者隱私之資安威脅,一旦應用程式之漏洞遭駭客利用,將造成全球大多數人之個資外洩。

大多數數位疫苗接種應用程式存在資安風險,第1個風險為其產生之QR Code未經加密,僅將敏感資訊進行編碼,任何人掃瞄QR Code即可查看個人資料。第2個風險為自雲端儲存服務上傳/下載個人健康資料時,38%無使用HTTPS,易遭中間人攻擊攔截個資資訊。第3個風險為涉及Android外部儲存空間存取之許可權,其風險為允許應用程式無條件地存取設備之檔案,占所有受測應用程式之43%。其他問題亦包括將雲端服務憑證寫入原始碼(hard-coded)與缺少SSL之CA驗證,導致使用者之個人敏感資訊面臨外洩風險。

Reference

https://www.bleepingcomputer.com/news/security/dozens-of-covid-passport-apps-put-users-privacy-at-risk/
https://www.msn.com/en-us/news/technology/that-covid-passport-app-may-put-your-privacy-at-risk/ar-AAUUTAI