澳洲广播公司报道称,Medicare App被曝存在“明显的”安全漏洞。通过这款免费的应用程序,10分钟之内就可以伪造出一份近乎完美的疫苗接种电子证明。
悉尼软件工程师Richard Nelson发现,Express Plus Medicare应用程序中存在一个“明显的”安全漏洞。利用这个漏洞,他可以伪造数字接种证书,接种者姓名以及接种日期随便改。伪造的证书还带有旨在防伪的背景动画。总理莫里森此前曾表示,这些证书是各州执行豁免政策时的一种“可靠且有效的”方式。联邦以及州政府计划给与接种疫苗者更多的自由,但是这一漏洞可能会令这一计划受到影响。(图片来源:ABC/摄影师:Services Australia)上周的一天晚上,Nelson在使用Express Plus Medicare应用程序时发现,软件中当前使用的系统(两个多月前推出)存在安全漏洞。“这是一个非常常见的漏洞。我认为肯定会有某种手段来阻止这种攻击,但并没有。”有安全专家证实,这是一种“明显的”漏洞,在对软件进行基本的安全评估时就应该能被发现。为了证明伪造数字接种证书有多么的容易,Nelson用了10分钟的时间制作了一张带有自己姓名的伪造证书。“我觉得在反疫苗人群中传播这个消息可不是个好主意。没有有效接种证书的人可以很容易地出示一份伪造证书,内容随便填,”Nelson说道。Nelson向政府报告了自己发现的安全漏洞,但尚未收到任何回复。负责数据和数字政策的就业部长Stuart Robert的发言人表示,政府已经“多次更新了疫苗接种证书。政府将继续更新……包括更新更多的安全措施。”从这份回应来看,目前尚不清楚政府是否会修补这个漏洞(这需要更新Medicare应用程序)。澳洲广播公司报道称,此次被曝出的安全漏洞与议员Rex Patrick本月早些时候发现的另外一个漏洞有所不同。此前,Patrick利用“几个图形工具”就伪造了PDF格式的接种证书。Rex Patrick(图片来源:ABC/摄影师:Matthew Doran)不过,从Nelson贴出的视频中可以看到,他发现的伪造出来的证书更复杂些,还包含一些防伪特征。Nelson表示,安全审计中“绝对”提出过这个的漏洞,要么就是没有进行安全审计。这已经不是经验丰富的软件开发人员Nelson第一次在政府的IT系统中发现漏洞。去年,他就与其它一些行业人士发现COVIDSafe应用存在一些问题。比如,无法在苹果手机锁屏后正常运行。科技界的另一位知名成员、数据安全专家Vanessa Teague表示,在COVIDSafe程序出现问题后,Medicare应用程序被曝漏洞并不令人意外。“哦,是的,修复那个漏洞很容易,只要5分钟,”Teague说道。Teague还说,疫苗接种证书还存在一个更大的安全问题。其他一些设计,例如欧盟使用的设计,具有二维码形式的数字签名,可以验证真伪,防止欺诈。这样的证书更难被伪造。欧盟版数字接种证书(图片来源:ABC/摄影师:Artur Widak)“他们必须实施一些类似于欧盟的设计。必须要有一些加密方式来验证接种证书上的信息是否正确。”莫里森已表示,将在10月对疫苗数字接种证书进行全面改革。不过,尚不清楚新版本是否仅用于国际旅行,或者是否会与现有版本的疫苗证书共同使用。7 月初,负责实施各种数字健康计划的法定机构澳洲数字卫生署(Australian Digital Health Agency)发布了一份有关用于存储数字疫苗接种证书以及COVID-19检测结果的手机应用程序招标书。拟议的移动应用程序将“在2021年12月之前”准备就绪,并具有“多重身份验证和反欺诈功能”。您在珀斯生活都遇到了哪些疑惑,或有不知道如何解决的问题?现在大家可以将这些问题发送至:[email protected],我们将邀请专业人士在即将上线的新平台上帮助大家解答!
如果您在西澳曾遭遇不公对待,经历或知晓有趣的事,或有任何希望对大家讲述的故事,请邮件我们或扫描并添加上方二维码!