有人发现可以使用网上的免费软件在10分钟内制作出近乎完美的新冠疫苗数字证书赝品。

悉尼的软件工程师Richard Nelson发现Express Plus Medicare应用程序中存在一个“明显”的安全漏洞，他可以利用该漏洞制作出任何姓名以及出生日期的疫苗证书，假证书居然还带有旨在防伪的背景动画。

总理莫里森此前曾表示，该证书是全澳各州管理封锁豁免的一种“可靠且有效”的方式。

然而该漏洞可能会阻止各州和联邦政府做出允许完成疫苗接种的人享有更多的自由的决定。

上周某个晚上，Nelson先生在使用Express Plus Medicare应用程序时发现了当前系统（2个多月前推出）中的安全漏洞。

“这是一个非常初级的缺陷。我认为开发方应该会有某种补丁程序来弥补漏洞，但是并没有。”

为了证明伪造证书是多么容易，Nelson先生仅仅花了10 分钟时间便为记者制作了一张带有姓名的赝品证书。

他还特别指出：“让反对疫苗的人们知道这件事会很麻烦。”

“那些不具备有效证书的人可以很容易的出示一个赝品证书，可以想象这将给社会带来什么样的危害。”

Nelson先生在发现漏洞后向政府发出了通知，但尚未收到回复。

在回答ABC的提问时，负责数据和数字政策的就业部部长发言人表示，政府已经“对疫苗接种证书进行了多次更新工作”。

发言人还说：“政府将继续更新疫苗接种证书，包括加强其安全措施。”

从当局的回应来看，目前尚不清楚政府是否会修补这一漏洞（这需要Medicare应用程序也做相应更新）。

该安全漏洞与参议员Rex Patrick本月早些时候指出的漏洞不同。

当时参议员使用“几个修图工具”就伪造了疫苗证书并以PDF文件形式导出。

而Nelson先生更复杂的技术甚至将反欺诈功能一并伪造了出来。

Nelson先生指出，对应用软件的安全审核中“完全应该”提出针对这一缺陷的质疑。

“或者是他们根本没有进行安全审核。”他补充说。

这已经不是专业软件开发人员第一次在政府部门IT系统中发现漏洞了。

去年在 COVIDSafe 应用程序中就发现过重要漏洞，还有发生过跟踪应用程序在锁定的iPhone上无法正常工作的情况。

科技界的另一位知名人士、隐私专家Vanessa Teague表示，Medicare应用程序的这一缺陷“在我们经历了COVIDSafe的问题之后就并不令人意外”。

她表示：“修复那个缺陷很容易，其实只需要5分钟。”

她还指出，说疫苗接种证书还存在更大的安全问题。

其他国家地区的疫苗证书，譬如在欧盟，整数中具有二维码形式的数字签名，可以验证以防欺诈。

“当局必须向欧盟学习他们是怎么操作的” Teague女士说。

“必须增加一些加密方式来验证信息是否真实。”

莫里森总理已表态疫苗证书将在10月进行全面改革，但尚不清楚其所指的新版本是否仅用于国际旅行（即与现有疫苗证书同时使用）。

编译：德理克

原文链接：

https://www.abc.net.au/news/science/2021-08-23/covid-19-vaccine-certificates-forged-in-10-minutes/100390578

↑ 滑 动 查 看 更 多 图 片，扫码观看↑