新西兰专家:疫苗证书app存在安全漏洞风险(图)
《新西兰先驱报》10月14日报道,昨天政府发布了My Covid Record应用程序,今年年底可以用app查看疫苗证书和新冠检测结果。
目前,该应用程序只允许人们查看疫苗接种记录。
IT安全专家Daniel Ayers说,该应用程序使用的是已知存在安全缺陷的软件,人们的信息可能会受到威胁。
用户可以使用他们的RealMe创建一个账户,或者用他们的电子邮件、身份证和国家健康指数号(National Health Index Number)进行注册。
(图片来源:《新西兰先驱报》)
Ayers在各种安全测试网站上测试了这款网络应用,这些网站强调有 "中度风险",即网络安全方面的漏洞,并给出了D级评价。
他说这不可接受。
他说:“这是一个卫生系统app,会期望它有很好的设置,是安全的,但它不是。大多数人,甚至所有新西兰人都必须使用的网站,因为我们是通过该网站来获得疫苗接种证书。”
检测表明,该应用程序使用的是过时的软件jQuery,自去年4月以来,该软件至少有两个安全缺陷。
Ayers说,令人担忧的是,该应用程序在开发过程中没有注意到这些问题。
Ayers还质疑对该网站做了哪些质保检测,因为他能够如此迅速地发现该网站的问题。
然而,卫生部全国数字服务集团经理Michael Dreyer告诉Morning Report记者,没有什么可担心的。
“这绝对是安全的,我的工作是保护新西兰人的健康信息的隐私和安全,我们非常重视这一点,我们投入了大量的时间来建立这个网站,做了严格的安全检查。”
Dreyer说,该软件已经被几家安全伙伴公司 “检查了遍”。
在读了Ayers担忧的报告后,Dreyer保证所指出的问题有“非常低的风险”。
“我们已经对该app进行了多次检测,我们已经对它进行了多方面外部审查。公众或安全专家如果对这些事情进行调查,可以进入我们的网站,并提供他们认为存在差距的信息,我们的团队显然会查看,并与这些人接触,解决他们发现的任何问题。”
Dreyer说,如果意识到有任何隐私或安全问题,他们会把网站关闭。
“我们使用现代的云计算软件平台,我们不断地检查、升级、修补,我们每天都在做这些事情,所以我们一直在追赶。”
他说,他的团队可以与Ayers合作,了解他担忧的事,但目前,网站或应用程序没有任何问题。
(Violet)