WithSecure (precedentemente nota come F-Secure Business), e la società di tecnologia sanitaria Cue Health, hanno collaborato per risolvere un problema di sicurezza che WithSecure ha scoperto nel test COVID-19 di Cue, che fornisce i risultati del tampone nasale via Bluetooth a un dispositivo mobile. Il problema avrebbe potuto consentire a un sottoinsieme di utenti di modificare i risultati all’interno della Health App della piattaforma.
Il test COVID-19 è un test molecolare che offre agli utenti risultati in 20 minuti con una precisione paragonabile ai test PCR eseguiti nei laboratori. Grazie alla sua velocità, accuratezza e facilità d’uso, ha ricevuto l’autorizzazione per l’uso professionale o a domicilio negli Stati Uniti, nell’Unione Europea, in Canada, India e Singapore.
Ken Gannon, consulente di sicurezza WithSecure, ha scoperto un metodo per modificare i risultati prodotti dal test.
“Sono stato in grado di cambiare il risultato del mio test negativo in positivo intercettando e cambiando i dati mentre venivano trasmessi dal lettore di Cue all’applicazione mobile sul mio telefono. E ho fatto certificare il risultato eseguendo un test supervisionato all’interno della Health App della piattaforma”, spiega Gannon. “Il processo è fondamentalmente lo stesso per cambiare un risultato positivo in negativo, il che potrebbe causare problemi se qualcuno che sa come fare quello che ho fatto io decide di iniziare a falsificare i risultati.”
Il test COVID-19 utilizza due diverse attrezzature: un kit di test (che contiene una cartuccia e un tampone per raccogliere un campione nasale) e un lettore Cue. L’utente inserisce la cartuccia del kit nel lettore, raccoglie un campione con il tampone incluso e poi mette il tampone nella cartuccia. La cartuccia esegue il test e invia i dati al lettore. Il lettore trasmette poi il risultato via Bluetooth alla piattaforma Health App (disponibile per iOS e Android) sul dispositivo mobile dell’individuo.
Gannon ha condiviso la sua ricerca con Cue Health, che ha risposto prontamente, ha avviato un’indagine e ha rapidamente implementato miglioramenti alla sicurezza per prevenire la futura falsificazione dei risultati dei test. Cue Health non è a conoscenza di risultati di test falsificati oltre a quelli riportati da WithSecure.
“L’affidabilità e la sicurezza della nostra tecnologia è di fondamentale importanza per la nostra azienda e apprezziamo la collaborazione del team di WithSecure. Grazie all’aiuto di WithSecure, abbiamo confermato che individui altamente qualificati con competenze di sicurezza informatica potrebbero modificare il risultato di un test, e abbiamo rapidamente rilasciato un aggiornamento del software per risolvere questo problema e rilevare la falsificazione dei risultati del test COVID-19 nell’App Cue Health”, afferma Vimal Subramanian, VP di Information Security and Privacy di Cue Health.
Gannon, che ha scoperto problemi simili in un test COVID-19 di un altro fornitore lo scorso dicembre*, ha detto che si aspetta che alcuni tipi di dispositivi riscontrino questo tipo di problemi di sicurezza.
I test COVID-19 negativi sono diventati requisiti per molte attività, compresi i viaggi internazionali negli Stati Uniti. Il potenziale di frode legato all’evasione delle restrizioni COVID-19 è stato evidenziato all’inizio di quest’anno, quando due infermiere di New York sono state accusate di 1,5 milioni di dollari di frode legati ai certificati vaccinali COVID-19.
“Ultimamente ho esaminato questi test COVID per curiosità professionale. Tuttavia, il tipo di problemi che sto vedendo sono abbastanza comuni in molti tipi diversi di dispositivi che utilizzano i computer per eseguire compiti specifici, come i dispositivi dell’internet delle cose. Poiché sono così comuni, è importante che i produttori predispongano modi per trovare e risolvere le falle di sicurezza prima che causino problemi agli utenti. Sono soddisfatto della collaborazione con Cue Health per rafforzare l’integrità del loro test”, aggiunge Gannon.
“Abbiamo davvero apprezzato che Ken abbia contattato il nostro team per quanto riguarda la sua ricerca. Segnalare questi tipi di problemi direttamente ai fornitori aiuta a rendere i prodotti che la gente usa più sicuri e affidabili, che è esattamente quello che abbiamo fatto qui”, conclude Subramanian.