DTA 在收到通知 21 天后修復 COVIDSafe Bluetooth 漏洞

澳大利亞研究人員發表的研究結果進一步戳破了聯邦政府冠狀病毒接觸者追蹤應用程序COVIDSafe的漏洞。
來自George Robotics的Jim Mussared和來自澳大利亞國立大學的Alwen Tiu強調了基于藍牙的聯系人跟蹤應用程序中的“靜音配對問題”，這次是在Android上。

漏洞使攻擊者可以與運行該應用程序易受攻擊版本的Android手機進行靜默綁定。綁定過程涉及交換受害手機的永久標識符：手機中藍牙設備的標識地址和稱為Identity的加密密鑰解析密鑰（IRK）。這些標識符中的任何一個都可以用于電話的長期跟蹤，。

Mussared解釋調查結果，稱該問題使攻擊者可以在運行COVIDSafe的情況下與用戶的手機進行靜音配對。

一旦配對，即使卸載了COVIDSafe或者電話已恢復出廠設置，這也使他們能夠永久跟蹤電話。這樣做的方法是公開藍牙MAC地址，該地址將響應L2CAP ping。

通常情況下，您只會看到電話的“隨機”可解析私人地址，該地址會定期更改，在配對期間，配對顯示的身份地址在電話的整個生命周期內都是固定的。

該問題已在45天前報告給Digital Transformation Agency（DTA），并已在24天前COVIDSafe 1.0.18版本中修復。

DTA能夠為此找到一個解決方法但是，COVIDSafe的設計必須依賴于使用藍牙，而藍牙的設計并非如此，藍牙可以在一定范圍內連接到任何不受信任的設備。

此問題是不使用蘋果或者谷歌曝光通知API的結果。如果EN API已經改為使用，我們就會有一個功能更強大，更可靠，更安全和值得信賴的應用程序。

雖然本地版本是固定的，但該漏洞可能會影響其他幾個共享相似架構的聯系人跟蹤應用程序，例如新加坡的TraceTogether和艾伯塔省的ABTraceTogether。

一夜之間，英國決定放棄自己的合同跟蹤應用程序，而是依靠Google和Apple API。

英國衛生與社會保健部表示：“雖然它尚無法提供可行的解決方案，但現階段基于Google / Apple API的應用似乎最有可能解決通過我們的現場測試確定的某些特定局限性。”

有消息稱DTA知道COVIDSafe存在嚴重漏洞的情況下，在2020年4月26日發送給公眾使用。

該機構發布的文件顯示，在該應用上線當天進行的藍牙日志記錄測試表明，iPhone（特別是iPhone X至iPhone 6）正在以“較差”的評級傳輸數據（評級低于25％）。

軟件工程師理查德·納爾遜（Richard Nelson）發布了研究報告，鎖定的iPhone在通過COVIDSafe進行日志記錄時幾乎沒有用。

他說，具有過期ID的鎖定iPhone無法生成新ID，并且沒有ID的設備將在其周圍記錄其他設備，但其他人則無法記錄。

DTA在五月表示，在發布之前，已經針對Apple iOS和Google Android版本的COVIDSafe App進行了功能和性能測試。

系統進行了179項功能測試，包括各種狀態下各種設備類型之間的藍牙狀態，包括手機處于鎖定和解鎖狀態以及應用程序處于打開狀態和未打開狀態。

DTA將繼續發布COVIDSafe應用程序的更新，以根據需要提供一系列性能，安全性和可訪問性改進。盡管缺乏社區傳播的COVID-19，但該應用程序仍能夠安全有效地運行。

截至2020年6月12日星期五，已有630萬澳大利亞人下載了該應用程序。

在其他地區，德國的“ Corona-Warn”應用程序在24小時內宣稱下載了650萬次下載，約占該國人口的7.8％。