La aplicación Home Office Brexit contiene varios agujeros de seguridad


La salida de inicio de la UE: verificación de documentos de identificación por parte del Ministerio del Interior, que permite a los ciudadanos de la Unión Europea (UE) solicitar el estatus de despedido si el Reino Unido abandona la UE asigna varios Investigadores de la empresa de seguridad noruega Promon quienes probaron su resistencia frente a algunos de los métodos de ataque más comúnmente utilizados, identificaron vulnerabilidades cibernéticas en peligro por ataques de malware que permiten a los piratas informáticos robar información del pasaporte y escaneos biométricos faciales.

Medidas que son extremadamente preocupantes dada la sensibilidad de la información ingresada por los usuarios ", dijo el jefe de tecnología de Promon, Tom Lysemose Hansen.

"En este tiempo políticamente incierto Lo último que la gente necesita o espera estar en el Reino Unido es si los piratas informáticos roban su información de pasaporte y sus identificaciones con fotografía.

"A medida que la aplicación continúa creciendo en popularidad y popularidad. A medida que más personas temen lo que les sucede cuando Gran Bretaña abandona el país, se vuelve cada vez más atractivo para los atacantes, lo que puede tener consecuencias devastadoras.

La aplicación se descargó y rehizo Un millón de veces. Se descubrió que carece de funciones básicas que impiden que Malware lea y robe información confidencial, incluidos los detalles del pasaporte y una identificación con fotografía, y que No se utiliza ofuscación que dificulte la escritura de malware dirigido para actores maliciosos.

También es propenso a spyware básico y genérico que puede registrar los datos ingresados ​​en sus campos de texto, como direcciones y números de teléfono. [1 9659010] Otras vulnerabilidades que podrían explotarse fácilmente incluyen la capacidad de modificar o agregar elementos maliciosos en la aplicación y luego reempaquetarlos y redistribuirlos sin previo aviso. falta de seguridad de conmutación por error para inyecciones de código durante la ejecución; No se puede determinar si se ejecuta en un entorno hostil, p. Por ejemplo, en un teléfono rooteado que ha roto las arquitecturas básicas de seguridad de Android. y no hay forma de saber si un atacante lo está analizando en tiempo de ejecución utilizando herramientas de depuración.

Un portavoz del Ministerio del Interior dijo a Computer Weekly: "Nos tomamos muy en serio la seguridad y la protección de los datos personales. La aplicación Exit: ID Document Check de la UE es probada regularmente por firmas de seguridad independientes contra todas las amenazas conocidas y emergentes, y sigue las mejores prácticas de la industria en términos de seguridad, rendimiento y accesibilidad.

"Más de un millón de personas tienen la aplicación segura y la usamos continuamente. Revise nuestros sistemas para asegurarse de que se mantengan seguros.

Hasta el momento, no hay violaciones conocidas de la aplicación utilizando ninguno de los métodos probados por Promon. La aplicación también ha sido probada y verificada de forma independiente por compañías de ciberseguridad externas, la última de las cuales fue en septiembre de 2019, y continúa cumpliendo con todos los requisitos de seguridad para aplicaciones disponibles en las plataformas iOS y Android.

Sin embargo, Arxan Mark Noctor, vicepresidente de EMEA, dijo que era "sorprendente" que el Ministerio del Interior no pareciera darse cuenta de la importancia de asegurar adecuadamente una aplicación tan importante.

"Tenemos que seguir enfatizando que las aplicaciones móviles necesitan protección para detener estas vulnerabilidades", dijo. "Esto se puede lograr mediante la implementación de una mentalidad de seguridad de la aplicación para que todos los que forman parte del proceso de la aplicación sean responsables de asegurar su parte del proceso, así como de crear protección en la aplicación, incluida la protección de la aplicación, el cifrado y análisis de amenazas.

] "Esto previene a los atacantes, los detiene y advierte al desarrollador de posibles amenazas".

Implementación deficiente

Jonathan Knudsen, estratega de seguridad sénior de Synposys, agregó: "La intención del Ministerio del Interior de reemplazarlo. Una aplicación de papel engorrosa con una aplicación de teléfono inteligente es loable, pero su implementación es inadecuada De arriba a abajo, la versión revisada de esta aplicación proporcionará la funcionalidad deseada y la seguridad requerida para una aplicación tan sensible en términos de seguridad.

" La piedra angular de la verdadera ingeniería de software es un Ciclo de vida de desarrollo seguro donde la seguridad juega un papel principal en cada etapa del diseño y la implementación, junto con más pruebas y mejores pruebas, el SDLC es un proceso que permite a las empresas desarrollar software más seguro, más seguro y más robusto ". [19659016] En la situación actual, los ciudadanos de la UE tienen hasta el 30 de junio de 2021, si Aunque esto puede cambiar dependiendo de si el Reino Unido realmente abandona la UE en la fecha de salida revisada del 31 de enero de 2020 o no. Tampoco existe la obligación de utilizar la aplicación como otro medio de aplicación.

Promon no probó la versión iOS recientemente lanzada de la aplicación para iPhone, que estuvo disponible solo en octubre de 2019 después de un proceso de entrega engorroso y a veces controvertido . [19659022]



Software alquiler maquinaria de Cea Ordenadores