Специалисты ИБ-компании WithSecure помогли производителю домашних тестов на коронавирус Cue Health исправить уязвимость, благодаря которой можно было подделывать результаты, сообщает SecurityLab.
Молекулярный тест Cue Health позволяет с помощью мазка из носа узнавать, болен человек COVID-19, или нет. Результаты приходят через 20 минут на мобильное устройство по Bluetooth.
Консультант WithSecure Кен Ганнон (Ken Gannon) выяснил, как можно подделать результаты теста.
«Мне удалось изменить свой отрицательный результат на положительный путем перехвата и изменения данных в процессе их передачи с датчика Cue на мобильное приложение на телефоне. Мои результаты были сертифицированы путем выполнения контролируемого теста в приложении Health App. Для изменения положительного результата на отрицательный процесс практически такой же. Это может стать проблемой, если кто-то, кто, как и я, знает, что делать, вдруг решит сфальсифицировать результат», – сообщил Ганнон.
В тесте используется два отдельных аппаратных компонента – набор для взятия мазка из носа (картридж и тампон) и датчик для считывания данных Cue Reader. Пользователь вставляет картридж в датчик, берет мазок из носа с помощью тампона, а затем вставляет тампон в картридж, который делает анализ и отправляет результаты датчику. Затем по Bluetooth данные с датчика передаются приложению Health App на смартфоне пациента.
Ганнон уведомил о своем открытии компанию Cue Health, которая незамедлительно отреагировала, инициировав расследование. В результате уязвимость была исправлена. Производителю не известно о каких-либо случаях фальсификации результатов тестирования в реальной жизни.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.