El estado de Nueva York solucionó un problema con Excelsior Pass Wallet que permite a los usuarios adquirir y almacenar COVID-19 credencial de vacunas.
El problema, descubierto por investigadores del NCC Group, permite que alguien «cree y almacene credenciales de vacunas falsas en su billetera NYS Excelsior Pass que podría permitirles obtener acceso a espacios físicos (como negocios y lugares de eventos) donde no podrán ser admitidos sin credencial de vacunas, aun cuando no hayan recibido una vacuna contra el COVID-19”.
Los investigadores descubrieron que la aplicación no validaba las credenciales de vacunas agregadas, lo que permitía que los usuarios almacenaran credenciales falsificadas.
El estado de Nueva York fue notificado del problema el 30 de abril, pero pasó meses ignorando los mensajes del Grupo NCC. Fue solo hasta que los investigadores se pusieron en contacto con el centro de comando cibernético ITS del estado de Nueva York en julio que recibieron una respuesta del estado sobre el problema.
El 20 de agosto se lanzó un parche que resuelve el problema. Los funcionarios del estado de Nueva York no respondieron a las solicitudes de comentarios de MarketingyPublicidad.es.
Siddarth Adukia, director técnico de NCC Group, dijo MarketingyPublicidad.es que el despliegue generalizado de solicitudes de pasaportes para credenciales de vacunas y sus implicaciones inherentes de seguridad y privacidad las convierten en un área de interés natural para la investigación de seguridad.
«En NCC Group, hemos estado investigando varias de estas aplicaciones recientemente. Queríamos medir hasta qué punto un usuario (o lugar) debería confiar en estos sistemas y cómo se vería afectada la privacidad de alguien que los use. dijo Adukia.
«Comenzamos con las aplicaciones NYS Excelsior Pass, ya que fueron una de las primeras en implementarse en los EE. UU., y teníamos consultores que viven en el estado de Nueva York, incluido yo mismo, que estaban personalmente encargados de garantizar la seguridad y la privacidad del sistema. Encontramos el problema después de modelar amenazas de posibles vectores de ataque y abuso contra la aplicación y el sistema en general».
Adukia dijo que su equipo realizó ingeniería inversa de la aplicación móvil e interceptó el tráfico de la red, lo que les permitió examinar la aplicación en busca de posibles problemas, como fugas de información, criptografía débil y otros problemas comunes de seguridad de la aplicación.
Adukia explicó que la aplicación permite a los usuarios escanear un código QR para agregar una credencial a la billetera o agregar una a través de la galería de fotos del dispositivo.
«El problema que encontramos permitió que se almacenaran credenciales falsas en la billetera. Ambos vectores permitieron que incluso los usuarios sin conocimientos técnicos escanearan una credencial falsa (creada por ellos mismos o a través de un sitio web) y la almacenaran como una credencial de vacuna digital en NYS Excelsior Wallet. aplicación», agregó Adukia.
«Luego, los usuarios podrían presentar la credencial a través de la aplicación oficial en los lugares e intentar obtener acceso físico. Muchos lugares no usan la aplicación del escáner o ignoran los resultados de la verificación y confían en los datos aparentemente legítimos en el dispositivo de un usuario, lo que permite eludir comprobación de credenciales».
La versión actual de la aplicación disponible en las tiendas no es susceptible a este problema, señaló Adukia. Sin embargo, los usuarios que no hayan actualizado a la última versión de la aplicación aún pueden cargar credenciales de vacunas falsificadas hoy.
En un aviso técnico de NCC Group, los investigadores incluyeron capturas de pantalla de credenciales falsificadas que la aplicación Wallet puede escanear y agregar como un pase legítimo.
Una captura de pantalla de las credenciales falsas. Grupo CNC
Adukia dijo que los investigadores de NCC Group actualmente están analizando y discutiendo problemas en otras aplicaciones COVID-19 administradas por el estado y planean seguir los procesos de divulgación de rutina con cualquier proveedor.
Millones de personas han encontrado formas de adquirir tarjetas de vacunas falsas u otras verificaciones que les permitan fingir que recibieron una de las muchas vacunas gratuitas contra el COVID-19 disponibles en los EE. UU.
Según un informe de agosto de Check Point Research, una variedad de verificaciones de la vacuna COVID-19 se venden a precios cada vez más bajos en la dark web. Los investigadores descubrieron que los precios de los certificados EU Digital COVID, así como las tarjetas de vacunas CDC y NHS COVID, habían caído hasta $ 100.
El estudio de Check Point Research encontró grupos que anuncian las verificaciones de vacunas falsas en grupos con más de 450,000 personas. En marzo, un informe anterior de la compañía encontró que el precio de los pasaportes de vacunas falsos rondaba los $250 en la dark web y que los anuncios de las estafas estaban alcanzando nuevos niveles.
Los investigadores ahora pueden encontrar certificados falsos vendidos por grupos y personas en EE. UU., Reino Unido, Alemania, Grecia, Países Bajos, Italia, Francia, Suiza, Pakistán e Indonesia.
El aumento en la demanda de pasaportes y tarjetas de vacunas falsos se produce cuando cientos de empresas obligan a los empleados y clientes a mostrar evidencia de la vacunación contra el COVID-19 antes de ingresar a las oficinas o negocios.
