Vulnerabilità: CVE-2020-26230

Radar COVID è il COVID-19 l’esposizione app ufficiale di notifica per la Spagna. Nelle versioni interessate di Radar COVID, l’identificazione e la de-anonima di COVID-19 utenti positivi che caricati radar COVID teks al server Radar COVID è possibile. Questa vulnerabilità consente l’identificazione e de-anonima di COVID-19 utilizzatori positivi quando si utilizza Radar COVID. La vulnerabilità è causata dal fatto che le connessioni Radar COVID al server (caricamento del teks al back-end) sono realizzati solo da COVID-19 positivi. Pertanto, qualsiasi osservatore on-percorso con la possibilità di monitorare il traffico tra l’applicazione e il server in grado di identificare quali utenti hanno avuto un test positivo. Un tale avversario, può essere l’operatore di rete mobile (MNO) se la connessione avviene attraverso una rete di telefonia mobile, l’Internet Service Provider (ISP) se la connessione avviene tramite Internet (ad esempio, una rete domestica), un fornitore di VPN utilizzato da l’utente, l’operatore di rete locale, nel caso di reti di imprese, o qualsiasi intercettatore con accesso alla stessa rete (WiFi o Ethernet) come l’utente come potrebbe essere il caso di hotspot WiFi pubblici distribuiti in centri commerciali, aeroporti, alberghi, e negozi di caffè. L’attaccante può anche de-anonimi l’utente. Per questa fase ulteriore per avere successo, l’avversario ha bisogno di traffico Radar COVID correlato ad altre informazioni identificabili dalla vittima. Ciò potrebbe essere realizzato associando il collegamento ad un contratto con il nome della vittima o associando Radar traffico COVID ad altri flussi generati dall’utente contenenti identificatori in chiaro (ad esempio, HTTP cookie o altri flussi di telefonia mobile l’invio di identificatori univoci come l’IMEI o l’AAID senza crittografia). Il primo può essere eseguita, ad esempio, da parte del provider di servizi Internet o l’MNO. Quest’ultimo può essere eseguito da qualsiasi avversario on-percorso, ad esempio il provider di rete o anche il fornitore di cloud che ospita più di un servizio accessibile da parte della vittima. Il più lontano l’avversario è o dalla vittima (il client) o il punto finale (il server), meno probabile potrebbe essere che l’avversario ha accesso alle informazioni ri-identificazione. La vulnerabilità è stata mitigata con l’iniezione di traffico fittizio dall’applicazione al backend. traffico fittizio è generato da tutti gli utenti indipendentemente dal fatto che siano COVID-19 positivo o meno. Il problema è stato risolto in iOS nella versione 1.0.8 (distribuzione uniforme), 1.1.0 (distribuzione esponenziale), Android nella versione 1.0.7 (distribuzione uniforme), 1.1.0 (distribuzione esponenziale), backend nella versione 1.1.2- PUBBLICAZIONE. Per ulteriori informazioni, consultare il riferimento consultivo GitHub sicurezza.


https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/security/advisories/GHSA-w7jx-37×3-w2jx
https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/security/advisories/GHSA-w7jx-37×3-w2jx
https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Best%20Practices%20for%20Operation%20Security%20in%20Proximity%20Tracing.pdf
https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Best%20Practices%20for%20Operation%20Security%20in%20Proximity%20Tracing.pdf
https://github.com/RadarCOVID/radar-covid-android/commit/09d00e5ede801ca400d45c7feda5a99c34e4176c
https://github.com/RadarCOVID/radar-covid-android/commit/09d00e5ede801ca400d45c7feda5a99c34e4176c
https://github.com/RadarCOVID/radar-covid-android/commit/53252773ffa81e116deabcbbea3bac96872b9888
https://github.com/RadarCOVID/radar-covid-android/commit/53252773ffa81e116deabcbbea3bac96872b9888
https://github.com/RadarCOVID/radar-covid-android/commit/7fdc7debeb8a37faa77b53d9f9a1b4bbcff445ce
https://github.com/RadarCOVID/radar-covid-android/commit/7fdc7debeb8a37faa77b53d9f9a1b4bbcff445ce
https://github.com/RadarCOVID/radar-covid-android/commit/8e5d14ec60e0c1847a4733556cf34d232c27102c
https://github.com/RadarCOVID/radar-covid-android/commit/8e5d14ec60e0c1847a4733556cf34d232c27102c
https://github.com/RadarCOVID/radar-covid-android/commit/91dcfff6252055637bc9ee0c46b8f003d64a16b9
https://github.com/RadarCOVID/radar-covid-android/commit/91dcfff6252055637bc9ee0c46b8f003d64a16b9
https://github.com/RadarCOVID/radar-covid-android/commit/9627f4d69705bca68e550eefd3df1b9abe90b215
https://github.com/RadarCOVID/radar-covid-android/commit/9627f4d69705bca68e550eefd3df1b9abe90b215
https://github.com/RadarCOVID/radar-covid-android/commit/ea0c4cc837f72f58e2b5df1ecf0899743ec3cdf8
https://github.com/RadarCOVID/radar-covid-android/commit/ea0c4cc837f72f58e2b5df1ecf0899743ec3cdf8
https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/commit/6d30c92cc8fcbde3ded7e9518853ef278080344d
https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/commit/6d30c92cc8fcbde3ded7e9518853ef278080344d
https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/commit/c37f81636250892670750e3989139fd76d4beffe
https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/commit/c37f81636250892670750e3989139fd76d4beffe
https://github.com/RadarCOVID/radar-covid-ios/commit/2d1505d4858642995ea09f02f23c953acaa65195
https://github.com/RadarCOVID/radar-covid-ios/commit/2d1505d4858642995ea09f02f23c953acaa65195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26230


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi