Lusinan Aplikasi Paspor Covid-19 Bahayakan Privasi Pengguna

Internet Sehat : Sebanyak dua pertiga dari aplikasi vaksinasi digital yang umum digunakan saat ini sebagai kartu aman dan paspor perjalanan menunjukkan perilaku yang dapat membahayakan privasi pengguna. Risikonya sangat besar karena aplikasi ini diperlukan untuk populasi besar di seluruh dunia yang memungkinkan peretas memiliki basis target yang luas.

Aplikasi paspor digital menyimpan bukti status vaksinasi COVID-19 seseorang, nama lengkap, nomor ID, tanggal lahir, dan informasi pengenal pribadi (PII) lainnya yang dikodekan dalam kode QR atau ditampilkan langsung di aplikasi. Pengguna kemudian dapat menunjukkan kode QR ini atau bukti vaksinasi saat diperlukan untuk memasuki area yang dianggap berisiko tinggi untuk penularan virus, diperlukan untuk bepergian, dan banyak lainnya.

Penerbit aplikasi ini biasanya adalah departemen kesehatan dan TI pemerintah, sementara pengembang sering kali dikontrak sebagai ahli dalam pengembangan perangkat lunak seluler.

Tim Symantec memeriksa 40 aplikasi paspor vaksin digital dan sepuluh aplikasi validasi (pemindai) dan menemukan bahwa 27 aplikasi mengalami beberapa risiko privasi dan keamanan.

Jenis masalah pertama yang disorot dalam laporan Symantec adalah bahwa banyak dari alat ini menghasilkan kode QR yang tidak dienkripsi, tetapi hanya dikodekan. Encoding adalah istilah yang digunakan untuk menunjukkan konversi data, dalam hal ini data kesehatan, ke format digital yang mudah dipindai dan diproses.

Di sisi lain, enkripsi mengubah data menjadi bentuk yang tidak dapat dibaca menggunakan algoritma kriptografi. Dalam hal ini, hanya entitas yang berwenang yang memegang kunci untuk menguraikan data dan membacanya.

Dengan mengandalkan penyandian dan bukan enkripsi, siapa pun yang menggunakan aplikasi pemindai QR di pos pemeriksaan dapat memecahkan kode data yang dipindai dan mengumpulkan detail pribadi yang sensitif.

Masalah umum lainnya yang ditemukan oleh tim Symantec menyangkut transmisi on-demand data kesehatan dari layanan penyimpanan cloud, tidak memerlukan koneksi HTTPS dalam 38% kasus, dan dengan demikian membuat pengguna rentan terhadap serangan man-in-the-middle .

Masalah ketiga menyangkut izin akses penyimpanan eksternal di Android, yang merupakan persetujuan berisiko karena memberikan aplikasi akses tanpa syarat ke file lokal perangkat. Hal ini menjadi masalah di 17 dari 40 aplikasi atau 43% dari total aplikasi yang diuji. Risiko keamanan lainnya termasuk kredensial layanan cloud hard-coded dan tidak adanya validasi SSL CA, sekali lagi menempatkan data sensitif pengguna dalam risiko.

Sumber : Bleeping Computer