Bir güvenlik araştırmacısı olan Ken Gannon, Ellume’un verileri analiz etmek ve sonuçları görüntüleyip kaydeden bir yardımcı uygulamaya iletmek için tasarlanmış burun sürüntü testindeki kusuru buldu. Evde yapılabilen bu Covid-19 testinin sonuçlarını, cihazdaki Bluetooth trafiğinin uygulamaya ulaşmasından önce yakalayıp değiştirmeyi başardı.
COVID-19 ev testleri hacklenmeye açık mı?
F-Secure’un yazılarına göre sonuçları tahrif etme süreci basit değildi. Araştırmacı, test cihazının uygulamaya gönderdiği verilere erişmek ve bunları analiz etmek için rootlu bir Android cihazı kullandı. Bu noktada Ken Gannon, sonuçların nasıl gönderildiğini ve gerçekliğinin nasıl doğrulandığını belirleyebildi.
Ardından, olumsuz bir sonucu başarılı bir şekilde olumluya çevirebilen iki senaryo yazdı. Daha sonra test sonuçlarıyla ilgili Ellume’dan ilgili e-posta eline ulaştığında kendisi negatif olduğu halde kitin, yanlış bir şekilde pozitif sonuç verdiğini söylüyor.
Ellume, verilerin doğru olduğundan emin olmak ve daha fazla analiz yapmak için F-Secure’un tavsiyelerine uyduğunu ve uygulamada, verilerini analiz etmeyi veya veri iletimini devralmayı zorlaştıracak değişiklikler yaptığını söyledi. Gannon, araştırmasının uygulamanın iOS sürümüne uygulanabilir olup olmadığını test etmediğini ve araştırmasının amacının ortalama bir kişinin sahte bir pozitif veya negatif COVID testi verip veremeyeceğini anlamak olduğunu söyledi.
Gannon’un yazısı yalnızca olumsuz sonuçların olumlu sonuçlara dönüştürülmesini içeriyor olsa da, F-Secure’un basın açıklamasında sürecin her iki yönde de çalıştığını söyledi. Ellume’un yamalarından önce Gannon, uygun motivasyona ve teknik becerilere sahip birinin bu kusurları kendisinin veya birlikte çalıştıkları birinin her test edildiğinde olumsuz sonuç almasını sağlamak için kullanmış olabileceğini söylüyor.
Teoride bir kişi bu sayede ABD’ye yeniden giriş gereksinimlerini karşılamak için sahte bir sertifika sunulabilir. F-Secure yalnızca yanlış bir sonucu sertifikalandırmakla kalmadı, aynı zamanda bir video test süpervizörünün bunu algılayamadığı da ortaya çıktı.
Basın açıklaması, Ellume’un şu anda yetkililerin ev testlerinin gerçek olduğunu doğrulamasını sağlayacak bir “doğrulama portalı” üzerinde çalıştığını ve önceki tüm sonuçlarını doğruluk açısından analiz etmek için geri döndüğünü söyledi. Yapılan 2. testlerin sonucunda, hiç kimsenin sahtecilik yaptığına dair delil bulunmadığını söyledi.
Siz bu konu hakkında ne düşünüyorsunuz? Görüşlerinizi yorumlarda bizlerle paylaşmayı unutmayın!
{{user}} {{datetime}}
{{text}}