Google和Apple低估Covid-19追踪软件中确定的选举威胁

一位Covid-19实验室技术人员在访问马拉汉医学研究所期间进行了一项文化测试。 [+] 2020年8月27日在新西兰惠灵顿维多利亚大学进行研究。 由Google和Apple共同创建的，用于在用户与运营商联系时通知用户的软件可能会产生意想不到的后果，使攻击者能够诱骗人们留在家中。

盖蒂图片社

今年早些时候，激烈的竞争对手Google GOOGL和Apple AAPL要求停火以对抗普通敌人：Covid-19，这是一种新型冠状病毒，已在全球感染了2420万，杀死了82.7万。 结果就是一项名为“隐私保留联系人跟踪”的服务，该服务使软件开发人员可以构建应用程序，以在用户与受感染的个人联系时通知用户，而无需透露有关该个人的身份。 从一部电话到另一部电话的数据传输整个过程仅发生在设备上。 不需要中央机构或其他可识别的信息。

这个想法是，如果您的手机发出了警告，那么您可以尽快进行测试和隔离。 通过将世界上两个最大的电话软件提供商的网络连接在一起，一个庞大的早期检测网络可以覆盖全球约一半人口的40亿人。

在美国，采用该技术的步伐缓慢，弗吉尼亚，阿拉巴马州，怀俄明州和北达科他州已经公开采取了采用该技术的步骤。 根据Google的说法，虽然总共有20个州在探索它，但已有16个国家在使用它。 现在，一些鲜为人知的研究提出了一种想法，即该软件可能使恶意攻击者影响用户的行为。 也许最值得注意的是，在今天之前，联邦贸易委员会前首席技术员阿什坎·索塔尼（Ashkan Soltani）在4月与他人合着了一份报告，其中将Google-Apple暴露通知软件描述为“脆弱的数字解决方案”，可用于吓scar人们远离投票。

尽管最初的警告很少引起注意，但今天发布的一项新分析显示了可能危在旦夕。 当局授予的验证码可以使一部手机可以告诉另一台手机的所有者被盗，可以通过多种方式非法获得，然后通过可访问手机蓝牙的受感染移动应用程序进行复制和广播，或者在蓝牙发射器遭受物理攻击的情况下进行复制和广播在人口稠密地区附近设置。

由于没有中央机构可以看到这些代码，因此可以多次欺诈地使用它们。 旨在通知单次感染的消息可能会被复制成数千个。 由两名计算机科学家和一位防流行病活动家撰写的报告认为，该漏洞不仅可以用来欺骗健康的人呆在家里，还可以用来破坏选举。

“ Google-Apple暴露通知系统作为一种软件系统，可进行基于邻近度的联系人跟踪，在个人可能暴露于Covid-19时向其发出警报，尽管它在保护个人隐私方面做得非常好，但它在保护个人隐私方面发挥了重要作用。安全挑战。 报告的共同作者，现年31岁的区块链初创公司Symbiont的首席技术官Adam Krellenstein说，这不仅是针对个人，而是整个社会。 “最大的问题是，由于该协议的设计，有可能以一种无法检测和无法预防的方式在广阔的地理区域内生成大量的虚假暴露通知。 其次，我认为攻击者具有的这种特殊能力可以有效地用于压制选民和操纵选民基础。”

在Krellenstein的堂兄，29岁的James Krellenstein说，非营利性Linux基金会已与他联系，以帮助他们吸引人们使用该服务后，Google-Apple暴露通知（GAEN）系统首先在7月初引起了Krellenstein的注意。 詹姆斯（James）是艾滋病毒宣传组织Prep4All的共同创始人，该组织通过在暴露前进行治疗来帮助预防疾病的传播。 在同意参与之前，James希望仔细研究Google和Apple的设计。

在与他的堂兄，密码学家兼去中心化系统专家Adam和纽约市城市学院算法与交互式科学软件中心主任Rosario Gennaro接触后，三人开始研究该应用程序，发现了一些鲜为人知的报告，对此表示关注关于漏洞。 Soltani报告发布后的一个月，一项由欧洲研究理事会部分资助的研究描述了如何诱使GAEN向许多不同的手机传播旨在代表一个受感染个体的代码。 在今天在Prep4All网站上发布的报告中，作者详细介绍了应用程序如此强大地解决的非常隐私的担忧如何导致不可检测的安全威胁。

如报告中所述，攻击者可以通过使用蓝牙检测设备嗅探有效代码，在黑市上购买代码或在黑市中获取已知的Covid-19受害者电话传输的临时暴露密钥（TEK）。在极端情况下，攻击者可以自我感染并使用自己的代码。 一旦获得了曝光密钥，就有两种可能的主要攻击方法。 第一个需要一个“恶意移动应用程序”，该应用程序已经获得使用手机蓝牙将代码广播给受感染设备附近的任何人的许可。 第二种是物理攻击，将范围在一到两公里之间的商用蓝牙无线电放置在靠近大批人群的地方，并像广播节目一样进行广播。

由于GAEN旨在保护用户隐私，因此TEK的整个处理过程都在每个人的设备上进行。 由Google，Apple或其他任何人处理的中央存储库都不会收集敏感信息。 但这也意味着，如果在地球的相对两侧同时使用代码，或者在一个城市中使用一百万次代码，那么没人会知道。 通过在重大事件（如全国大选，投票率或其他任何行为）周围发动袭击，就可以抑制受害者，使受害者等待以虚假借口进行的测试结果。 报告的结论是：

由于GAEN目前正在实施并在全球范围内推广，因此可以使用一个有效的授权代码同时“暴露”数百个位置的数百万用户，并且在攻击过程中无法检测或阻止攻击进行中。 加上最近外国政府多次尝试干预美国大选的历史，应该使那些正在考虑广泛采用曝光通知系统的人感到担忧。

如果这一切看起来牵强，那是因为。 发生这种情况的机会很小，甚至很小。 已经采取措施使许多漏洞难以利用且代价昂贵。 临时暴露密钥仅在短时间内有效，限制了它们的使用，访问弗吉尼亚州Covidwise应用程序所需的六位数PIN码直接来自弗吉尼亚卫生部，例如，在应用程序内伪造测试结果变得更加困难。 。 此外，Google和Apple的应用程序商店具有内置的恶意软件检测功能，专门用于识别和消除此类基于软件的威胁。

麻省理工学院教授罗恩·里维斯特（Ron Rivest）通过他在Apple的“查找我的手机”功能上教的课，为后来的GAEN打下了基础。 里维斯特（Rivest）于1977年帮助发明了比特币及更多货币中使用的公钥加密技术，对此威胁轻描淡写，他说在Facebook或Twitter上进行简单的竞选活动将是实现相同选民镇压的一种更容易，更便宜的方法。 他说：“如果您希望影响选民的投票率，则可以向人们建议民意调查地点可能被污染，或者是疾病的避风港。” “如今，各种各样的社交媒体将成为这样做的方式。”

为减轻对通过GAEN压抑选民的担忧，Google发言人建议医疗机构监控暴露通知，以增加与传统病毒模型不一致的比率，并建立应对此类异常的机制。 例如，可以在可疑区域设置临时上限，直到可以进行独立验证为止。 此外，谷歌和苹果公司向《福布斯》提供的联合声明称，“曝光通知系统”经过专门设计，具有强大的数据安全性和隐私保护功能，并引用了非营利性人权观察组织的决定，为该应用程序提供了“金标准”来追踪传播情况病毒的。 “我们相信适当的防护措施已经到位，可以防止研究中概述的攻击类型。”

—-

原文链接：https://www.forbes.com/sites/michaeldelcastillo/2020/08/27/google-and-apple-downplay-possible-election-threat-identified-in-their-covid-19-tracing-software/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。