Les applications de recherche de contacts de Google/Apple sensibles aux attaques numériques

application

Crédit : Pixabay/CC0 Domaine public

Depuis le début de la pandémie de COVID-19, les scientifiques et les autorités sanitaires se sont appuyés sur les technologies de recherche des contacts pour aider à gérer la propagation du virus. Pourtant, il existe un défaut majeur dans un cadre que bon nombre de ces applications mobiles utilisent, un défaut que les attaquants pourraient exploiter pour accélérer les fausses notifications positives.

Les applications alimentées par le cadre Google/Apple Exposure Notification (GAEN) sont largement disponibles dans de nombreux pays et fonctionnent plus efficacement en arrière-plan de votre téléphone. Mais des chercheurs de l’Ohio State University ont déclaré avoir découvert que ces applications étaient susceptibles d’être attaquées par relecture géographique, c’est-à-dire lorsqu’un tiers capture les données téléphoniques de suivi des contacts diffusées par un utilisateur dans une zone et les exploite en les transmettant à plusieurs reprises dans une autre région. emplacement éloigné.

Les attaques par relecture peuvent être utilisées pour exploiter les faiblesses électroniques afin d’accéder aux réseaux numériques, causer des effets néfastes sur les appareils mobiles ou empoisonner des ensembles de données avec de fausses informations. Considérant à quel point la société s’appuie sur des données de santé honnêtes, de mauvaises informations peuvent être particulièrement nocives en termes de suivi du COVID-19, a déclaré le co-auteur de l’étude Anish Arora, professeur et président de l’informatique et de l’ingénierie à l’Ohio State.

“Les pirates ou les acteurs de l’État-nation pourraient potentiellement profiter d’un utilisateur honnête et rejouer leurs données de recherche de contacts n’importe où dans le monde”, a déclaré Arora.

Par exemple, si quelqu’un à Columbus avec COVID-19 devait voir ses données de balise de recherche de contacts capturées par un tiers, ses informations pourraient être transmises à une ou plusieurs autres villes à des milliers de kilomètres et rediffusées à d’autres à proximité. Si cette personne devait être diagnostiquée positive au COVID-19, une personne qui n’a en réalité eu aucun contact avec une personne infectée pourrait être alertée.

Cela signifie que les attaquants pourraient essentiellement créer des super-diffuseurs numériques, en lançant un processus qui partage des grappes de fausses balises d’exposition dans différentes zones, a déclaré Arora.

“Parce que le cadre fonctionne comme un protocole sans fil, n’importe qui peut injecter une sorte de fausse exposition, et ces fausses rencontres pourraient perturber la confiance du public dans le système”, a-t-il déclaré.

Bien qu’une augmentation des notifications de faux positifs compromettrait le bien public derrière les applications de recherche de contacts, le co-auteur Zhiqiang Lin, professeur d’informatique et d’ingénierie à l’Ohio State, a déclaré que cela pourrait également avoir des conséquences économiques et sociales en cascade, comme amener les gens à manquer le travail ou annuler des activités personnelles quotidiennes et des vacances planifiées depuis longtemps. Ce potentiel augmente lorsque les tests sont rares ou dans les pays économiquement défavorisés qui n’ont pas accès aux vaccins, a ajouté Lin, qui a étudié les vulnérabilités de la cybersécurité dans les logiciels numériques pendant plus d’une décennie.

Pourtant, les chercheurs ont pu trouver un correctif pour cette faille fatale. “La partie la plus difficile a été de trouver un correctif pratique et qui n’empêcherait pas les utilisateurs d’utiliser l’application”, a déclaré Lin.

L’équipe a proposé un prototype basé sur le framework original de Google et Apple, qu’ils ont appelé GAEN+, prononcé “Gain Plus”. Après l’avoir implémenté sur un appareil Android (le prototype est également facilement portable sur les appareils Apple), ils ont exécuté le prototype à travers une série d’expériences pour tester ses défenses contre les attaques de relecture malveillantes. Ils ont conclu que par rapport au cadre de Google et d’Apple, GAEN+ était capable d’empêcher efficacement les faux positifs tout en préservant la confidentialité des utilisateurs.

L’équipe a présenté sa solution le 12 juillet lors de la réunion annuelle de la conférence Privacy Enhancing Technologies Symposium (PETS) qui s’est tenue cette année à Sydney, en Australie.

Lin a déclaré que même si l’équipe n’est peut-être pas la première à trouver la faille de Google et d’Apple, elle est actuellement la première équipe à prouver à la communauté numérique au sens large comment elle pourrait être exploitée de manière « peu coûteuse et distribuée ».

“Ils ont peut-être simplement pensé que cela ne pouvait pas avoir de conséquences graves”, a-t-il déclaré. Mais dans l’ensemble, Lin décrit leur modification du protocole de recherche des contacts comme “très minime” pour une défense aussi solide contre les attaques potentielles.

“Notre amélioration préserve la confidentialité”, a déclaré Arora. Au lieu de s’appuyer sur des données GPS précises comme d’autres correctifs proposés, GAEN + utilise des données de localisation grossières provenant de points d’accès Wi-Fi et de tours de téléphonie cellulaire d’une manière intelligente qui préserve l’anonymat, a-t-il déclaré.

L’équipe a reçu des remerciements de Google pour avoir trouvé et corrigé la faiblesse. Pour s’assurer que GAEN+ est accessible au public, l’équipe a mis le code source du correctif sur GitHub, une plate-forme qui héberge le code en ligne.

“Lorsque de futurs développeurs conçoivent des protocoles similaires, nous nous assurons qu’ils ont la possibilité de prendre en compte nos recommandations”, a déclaré Arora. “Les deux sociétés ont fabriqué un produit qui peut faire beaucoup de bien dans le monde. Nous voulons juste rendre GAEN beaucoup plus difficile à exploiter.”

Les autres co-auteurs étaient Christopher Ellis et Haohuang Wen, tous deux étudiants diplômés en informatique et en ingénierie à l’Ohio State.


Des chercheurs conçoivent une recherche de contacts mobiles plus sécurisée


Plus d’information:
Replay (Far) Away : Exploitation et correction de Google/Apple Exposure Notification Contact Tracing, Procédures sur les technologies de protection de la vie privée (2022).

Fourni par l’Université d’État de l’Ohio

Citation: Applications de suivi des contacts de Google/Apple susceptibles d’être attaquées par des attaques numériques (21 juillet 2022) récupéré le 21 juillet 2022 sur https://techxplore.com/news/2022-07-googleapple-contact-tracing-apps-susceptible-digital.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.