美國紐約市政府早前推出 Excelsior Pass Wallet 手機 app,市面可以加入自己嘅疫苗注射記錄(針卡),然後就可以進入一啲受限場所例如展覽、會議設施等。不過,專家發現呢隻 app 唔多可靠,因為用戶可以自製 qr code,喺 app 入面加張假針卡, 點解咁失策?原來唔使同注射資料庫驗證㗎!
目錄
疫苗、針卡有市有價
歐美國家疫情嚴重,感染、死亡人數雖然稍為受控,但各地政府仍然實施不同程度的防疫措施,限制出入人流。網絡安全公司 Check Point 在今年三月進行網上調查,不少市民為了盡快獲得疫苗接種,願意付炒價購買 Johnson&Johnson、AstraZeneca、Pfizer、SinoPharm等疫苗,價錢由500美元至過千美元不等。而假針卡亦成為搶手貨,價錢由 250 美元起。而隨著疫苗生產量提升,假針卡亦大幅降價,現時只須 100 美元就可從黑市購得。不少人始終對疫苗防感染效能存疑,特別是對 Delta 變種病株更作用有限,而且仍然不時在接種者身上出現嚴重副作用,因此抗拒在現階段接種疫。不過,由於各地政府限制未接種疫苗人士出入特定場所,不少企業亦暗示員工必須打針才能上班,因此假針卡仍然有強勁需求,因而在美國、英國、德國、希臘、荷蘭、意大利、法國、瑞士等國家都可從黑市買入。
疫苗護照app 驗證漏洞
要對付假針卡,各國均有意推出護照 app,要求已接種市民隨身攜帶電子證書,才能出入受限場所或在出入境時獲得隔離豁免。紐約市是美國境內首批推出手機應用程式的地方之一,網絡安全公司 NCC Group 為了測試護照 app 在安全性,在今年四月取得 NYS Excelsior Pass Wallet 後便對它進行逆向工程(reverse engineering)檢查,結果卻令人大失所望,因為該款手機應用程式竟然不會對用戶自行匯入的針卡跟官方記錄進行驗證。研究員指出,該 app 可讓用戶自行掃描針卡的 qr code,或匯入圖像版針卡,將接種記錄存入系統。由於缺乏驗證,因此即使市民未有接種疫苗,但只要懂得製作虛假 qr code,便可自行添加假的接種記錄。研究員再解釋,雖然受限場地管理者可通過掃描器去核對該記錄的真偽,但不少場地卻沒有使用掃描器,單純檢查 app 內資料便放行,導致檢測關卡出現嚴重漏洞。
舉報三個月被冷處理
NCC Group 在發現漏洞後,已於四月尾向紐約市政府通報,但一直未獲任何跟進,直至研究員在七月直接聯絡紐約市網絡安全指揮中心,問題才得以被正視,並且在 8 月 20 日推出安全更新。不過,研究員指只要使用虛假針卡的人不去更新手機app,便依然可以使用假針卡出入受限場所,因此研究員呼籲各界必須認真驗證護照 app 內的資料,同時其他準備引入針卡app的國家亦應重新審視安全漏洞,以免高風險受感染人士可通過漏洞進入。
