最好看的新闻,最实用的信息
11月09日 20.7°C-23.8°C
澳元 : 人民币=4.73
珀斯
今日澳洲app下载
登录 注册

Medicare App曝漏洞,可伪造疫苗接种证明!姓名日期随便改,10分钟就搞定(组图)

2021-08-23 来源: ABC 原文链接 评论39条

澳洲广播公司报道称,Medicare App被曝存在“明显的”安全漏洞。通过这款免费的应用程序,10分钟之内就可以伪造出一份近乎完美的疫苗接种电子证明。

Medicare App曝漏洞,可伪造疫苗接种证明!姓名日期随便改,10分钟就搞定(组图) - 1

悉尼软件工程师Richard Nelson发现,Express Plus Medicare应用程序中存在一个“明显的”安全漏洞。

利用这个漏洞,他可以伪造数字接种证书,接种者姓名以及接种日期随便改。伪造的证书还带有旨在防伪的背景动画。

总理莫里森此前曾表示,这些证书是各州执行豁免政策时的一种“可靠且有效的”方式。

联邦以及州政府计划给与接种疫苗者更多的自由,但是这一漏洞可能会令这一计划受到影响。

Medicare App曝漏洞,可伪造疫苗接种证明!姓名日期随便改,10分钟就搞定(组图) - 2

(图片来源:ABC/摄影师:Services Australia)

上周的一天晚上,Nelson在使用Express Plus Medicare应用程序时发现,软件中当前使用的系统(两个多月前推出)存在安全漏洞。

“这是一个非常常见的漏洞。我认为肯定会有某种手段来阻止这种攻击,但并没有。”

有安全专家证实,这是一种“明显的”漏洞,在对软件进行基本的安全评估时就应该能被发现。

为了证明伪造数字接种证书有多么的容易,Nelson用了10分钟的时间制作了一张带有自己姓名的伪造证书。

Medicare App曝漏洞,可伪造疫苗接种证明!姓名日期随便改,10分钟就搞定(组图) - 3

“我觉得在反疫苗人群中传播这个消息可不是个好主意。没有有效接种证书的人可以很容易地出示一份伪造证书,内容随便填,”Nelson说道。

安全漏洞会被修复吗?

Nelson向政府报告了自己发现的安全漏洞,但尚未收到任何回复。

负责数据和数字政策的就业部长Stuart Robert的发言人表示,政府已经“多次更新了疫苗接种证书。政府将继续更新……包括更新更多的安全措施。”

从这份回应来看,目前尚不清楚政府是否会修补这个漏洞(这需要更新Medicare应用程序)。

基本的安全评估就能发现漏洞

澳洲广播公司报道称,此次被曝出的安全漏洞与议员Rex Patrick本月早些时候发现的另外一个漏洞有所不同。

此前,Patrick利用“几个图形工具”就伪造了PDF格式的接种证书。

Medicare App曝漏洞,可伪造疫苗接种证明!姓名日期随便改,10分钟就搞定(组图) - 4

Rex Patrick(图片来源:ABC/摄影师:Matthew Doran)

不过,从Nelson贴出的视频中可以看到,他发现的伪造出来的证书更复杂些,还包含一些防伪特征。

Nelson表示,安全审计中“绝对”提出过这个的漏洞,要么就是没有进行安全审计。

这已经不是经验丰富的软件开发人员Nelson第一次在政府的IT系统中发现漏洞。

去年,他就与其它一些行业人士发现COVIDSafe应用存在一些问题。比如,无法在苹果手机锁屏后正常运行。

科技界的另一位知名成员、数据安全专家Vanessa Teague表示,在COVIDSafe程序出现问题后,Medicare应用程序被曝漏洞并不令人意外。

“哦,是的,修复那个漏洞很容易,只要5分钟,”Teague说道。

“接种证书需要二维码数字签名”

Teague还说,疫苗接种证书还存在一个更大的安全问题。

其他一些设计,例如欧盟使用的设计,具有二维码形式的数字签名,可以验证真伪,防止欺诈。这样的证书更难被伪造。

Medicare App曝漏洞,可伪造疫苗接种证明!姓名日期随便改,10分钟就搞定(组图) - 5

欧盟版数字接种证书(图片来源:ABC/摄影师: Artur Widak

“他们必须实施一些类似于欧盟的设计。必须要有一些加密方式来验证接种证书上的信息是否正确。”

莫里森已表示,将在10月对疫苗数字接种证书进行全面改革。不过,尚不清楚新版本是否仅用于国际旅行,或者是否会与现有版本的疫苗证书共同使用。

7 月初,负责实施各种数字健康计划的法定机构澳洲数字卫生署(Australian Digital Health Agency)发布了一份有关用于存储数字疫苗接种证书以及COVID-19检测结果的手机应用程序招标书。

拟议的移动应用程序将“在2021年12月之前”准备就绪,并具有“多重身份验证和反欺诈功能”。

(Gleen)

编译声明:本文系本站编译和整理自英文来源,仅代表原作者或原平台态度,不代表我方观点,文章或有适当删减。未获本站书面授权严禁转载,在获授权前提下,转载必须在醒目位置注明本文出处和具体网页链接。对未注明而擅自转载者,本站保留追究法律责任的权利。
今日评论 网友评论仅供其表达个人看法,并不表明网站立场。
最新评论(39)
jafe121
jafe121 2021-08-23 回复
打疫苗是給自己幫助,造假是自己承單,未來想打無法打也自己看這辦
土澳居民tYM5d
土澳居民tYM5d 2021-08-23
同意,打疫苗是为了自己,造假疫苗证书是在找死,让这些人染疫死去不足惜。我打了疫苗根本不去关心拿证书,现在根本不需要,而是为了保护自己
森不可测
森不可测 2021-08-23
可以预见将来越来越多的行业、工作岗位和场所会要求你出示疫苗接种证明。我今天才听说国内公务员如果不接种可能连班都不让上了,而现在国内也有说接种疫苗会跟个人诚信记录挂钩,由此可以瞥见疫苗证明造假这个事情没有你们想得那么单纯和简单,为了上班和名利而不惜风险、不择手段大有人在。
aAndrew
aAndrew 2021-08-23 回复
打完针2周还显示没用接种,我感觉自己也应该做一个
土澳居民B3XX1
土澳居民B3XX1 2021-08-23
哪里有做的呀?我赶紧去做一个
倪师傅
倪师傅 2021-08-23
这个可以有
国烟外烟批发
国烟外烟批发 2021-08-23
因短时间内多条评论违规被举报,触发自动屏蔽机制,该用户评论均被屏蔽。
肠姑娘
肠姑娘 2021-08-23 回复
10分钟就搞定,这个吓人啊
土澳居民A4MEh
土澳居民A4MEh 2021-08-23 回复
澳洲的网络就不说了,还总担心别人攻击?这种烂网自己就间歇性瘫痪,还用别人攻击吗?网速最多算3G,落后的程度不亚于非洲国家。
2021-08-23 回复
做s的节奏啊?这些都是为自己,干嘛要搞这些?真的不明白....?


Copyright Media Today Group Pty Ltd.隐私条款联系我们商务合作加入我们

电话: (02) 8999 8797

联系邮箱: [email protected] 商业合作: [email protected]网站地图

法律顾问:AHL法律 – 澳洲最大华人律师行新闻爆料:[email protected]

友情链接: 华人找房 到家 今日支付Umall今日优选