Noticias

Aplicaciones de Corona: los investigadores informan déficits en seguridad

Aplicaciones de Corona: los investigadores informan déficits en seguridad



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Las aplicaciones de advertencia de Corona no son lo suficientemente seguras

Una aplicación de advertencia Corona pronto estará disponible en Alemania. Con su ayuda, las personas que tuvieron contacto con COVID-19 infectado pueden ser informadas antes y con mayor precisión sobre el riesgo de infección, explica el centro de consumidores. En otros países, estas aplicaciones se han utilizado durante mucho tiempo. Pero los investigadores ahora están informando sobre la protección de datos y los riesgos de seguridad.

Científicos británicos descubrieron recientemente en un estudio que las aplicaciones de advertencia de corona pueden ayudar a reducir significativamente la propagación de COVID-19. Desafortunadamente, estas aplicaciones probablemente no son lo suficientemente seguras. Un equipo de investigación alemán todavía ve un claro potencial de mejora aquí.

La aplicación debería ayudar a controlar la pandemia de corona

La aplicación de advertencia de la corona alemana es "un medio eficaz para ayudar a controlar la pandemia de la corona", dijo el portavoz del gobierno Steffen Seibert.

"La protección de la privacidad tiene la máxima prioridad aquí", se cita Seibert en el sitio web del gobierno federal.

Pero aparentemente todavía hay déficits en seguridad y protección de datos. Porque, según un anuncio actual, un equipo de investigación de la Universidad Técnica de Darmstadt, la Universidad de Marburg y la Universidad de Würzburg ha demostrado recientemente y prácticamente demostrado en riesgos de seguridad y protección de datos la especificación del enfoque propuesto por Google y Apple para aplicaciones de corona en condiciones realistas aprobado.

La aplicación de advertencia Corona alemana desarrollada por Deutsche Telekom y SAP en nombre del gobierno alemán se basa en este enfoque. Las aplicaciones de seguimiento de contactos suizas e italianas también usan esta plataforma.

Perfiles detallados de movimiento de personas infectadas

A través de experimentos en escenarios del mundo real, los investigadores demostraron que los riesgos teóricamente conocidos pueden explotarse utilizando medios técnicos comunes.

Por un lado, un atacante externo puede crear perfiles de movimiento detallados de personas infectadas con el nuevo coronavirus SARS-CoV-2 y, en ciertas circunstancias, identificar a las personas afectadas.

Por otro lado, un atacante puede manipular la información de contacto recopilada a través de los llamados ataques de retransmisión, que pueden afectar la precisión y la fiabilidad de todo el sistema de seguimiento de contactos.

Identificación de los ciclos de infección.

Según los expertos, las aplicaciones de seguimiento de contactos en dispositivos móviles prometen la posibilidad de reducir significativamente el esfuerzo manual para identificar ciclos de infección y aumentar la cobertura del seguimiento de contactos.

Una de las sugerencias de seguimiento de contactos más conocidas en este momento proviene de la colaboración de las empresas estadounidenses Google y Apple. Se espera que los dos grupos integren esta nueva funcionalidad estándar en sus respectivos sistemas operativos móviles, Android e iOS.

Algunos países, incluida Alemania, ya han elegido este enfoque en sus proyectos nacionales para la identificación digital de las personas de contacto.

Se podrían identificar ubicaciones sensibles de los sujetos de prueba

El punto de partida para los experimentos de los expertos en seguridad de TI de las tres universidades fue la publicación previa de informes sobre posibles riesgos de protección de datos y seguridad en relación con los desarrollos del llamado "Protocolo de Google Apple" (GAP).

Los científicos probaron si los ataques descritos conceptualmente pueden llevarse a cabo en la práctica. Según la información, los experimentos muestran que GAP es, por un lado, susceptible a la creación de perfiles y, por lo tanto, puede permitir la anonimización de las personas infectadas.

Por otro lado, los llamados ataques de relevo o agujero de gusano también son posibles en GAP, por lo que los atacantes pueden generar información de contacto incorrecta y, por lo tanto, sufren la precisión y corrección del sistema en general.

Según el anuncio, el equipo de investigación implementó los ataques utilizando herramientas económicas disponibles comercialmente, como rastreadores Bluetooth (como una aplicación para teléfonos inteligentes o Raspberry Pis), que también se pueden usar en entornos móviles.

Debido a que la implementación del enfoque GAP aún no está disponible para la comunidad científica en general, los investigadores construyeron los ataques con base en especificaciones publicadas previamente.

Los resultados han demostrado que cuando se utilizan sensores ubicados estratégicamente en teléfonos inteligentes en un área determinada, los movimientos de las personas infectadas, simulados por los sujetos de prueba, pueden reconstruirse en detalle.

Esto también permitió identificar el paradero sensible de los sujetos de prueba y las posibles relaciones sociales entre ellos.

Claro potencial de mejora

La vulnerabilidad de GAP a los llamados ataques de relevo o agujero de gusano también revela debilidades. Como se indicó en el anuncio, este método permite a un atacante recopilar las llamadas ID de usuario de Bluetooth, que son generadas por una aplicación de seguimiento de contactos, y pasarlas a ubicaciones más distantes sin ser notado.

Entre otras cosas, las ID de Bluetooth se transmitieron con éxito entre dos ciudades a 40 kilómetros de distancia.

Esto podría permitir a un atacante comprometer el sistema de seguimiento de contactos en su conjunto al duplicar por error la información sobre la presencia de personas infectadas en muchos lugares, lo que podría generar un aumento significativo de falsas alarmas sobre el riesgo potencial de infección.

En general, el equipo de investigación aún ve un potencial de mejora significativo para el enfoque propuesto por Google y Apple para las aplicaciones de corona.

Se puede encontrar una descripción detallada de los experimentos y sus resultados en el informe completo del estudio en "arXiv.org", un servidor de documentos para preimpresiones de los campos de la física, las matemáticas, la informática, las estadísticas, las matemáticas financieras y la biología. (anuncio)

Autor y fuente de información

Este texto corresponde a las especificaciones de la literatura médica, pautas médicas y estudios actuales y ha sido revisado por médicos.

Hinchar:

  • Universidad Técnica de Darmstadt: aplicaciones de advertencia Corona: déficits en seguridad, (consultado: 14 de junio de 2020), Universidad Técnica de Darmstadt
  • Lars Baumgärtner, Alexandra Dmitrienko, Bernd Freisleben, Alexander Gruler, Jonas Höchst, Joshua Kühlberg, Mira Mezini, Markus Miettinen, Anel Muhamedagic, Thien Duc Nguyen, Alvar Penning, Dermot Frederik Pustelnik, Filipp Roos, Ahmad-Reza Schwarz, Christian Schwarz, Sadeghi Uhl: Mind the GAP: riesgos de seguridad y privacidad de las aplicaciones de rastreo de contactos; en: arXiv.org, (publicado: 10.06.2020), arXiv.org
  • Centro de asesoramiento al consumidor: advertencia Corona a través de la aplicación: preguntas y respuestas sobre la aplicación de seguimiento planificada, (consultado el 14 de junio de 2020), centro de asesoramiento al consumidor
  • Gobierno federal: aplicación de advertencia Corona: el portavoz del gobierno responde a sus preguntas, (consultado: 14 de junio de 2020), gobierno federal


Vídeo: TOP 10 Mejores Aplicaciones para Android - ÚTILES y APPS Gratis 2020 (Agosto 2022).