WithSecure™ ja Cue Health paransivat COVID-19-kotitestitulosten luotettavuutta

WithSecure™ ja terveydenhuollon teknologiayritys Cue Health ovat tehneet yhteistyötä haavoittuvuuden korjaamiseksi Cuen COVID-19-testeissä. Cuen COVID-19-testi toimittaa nenänielunäytteen tuloksen bluetoothin kautta mobiilisovellukseen, josta WithSecuren asiantuntija löysi keinon muuttaa testituloksia.

COVID-19-testi on molekyylitesti, joka tarjoaa käyttäjille tuloksia 20 minuutissa. Testin tarkkuus on verrattavissa laboratorioissa tehtäviin PCR-testeihin. Nopeutensa, tarkkuutensa ja helppokäyttöisyytensä ansiosta se on hyväksytty ammattikäyttöön sekä kotikäyttöön Yhdysvalloissa, Euroopan unionissa, Kanadassa, Intiassa ja Singaporessa.(*)

WithSecuren tietoturvakonsultti Ken Gannon löysi menetelmän muuttaa testituloksia.

— Pystyin muuttamaan negatiivisen testitulokseni positiiviseksi sieppaamalla ja muuttamalla tietoja, kun ne lähetettiin Cuen lukulaitteesta puhelimeni mobiilisovellukseen. Ja sain testitulokseni sertifioitua Cue Health -sovelluksessa, joka mahdollistaa tulosten väärentämisen, Gannon kertoo.

Kyseisessä COVID-19-testissä käytetään kahta erilaista osaa: testipakkausta (sisältää testikasetin ja puikon nenänäytteen keräämiseen) ja Cue Reader -lukijaa. Käyttäjä ottaa näytteen testipuikolla ja asettaan sen testikasettiin. Testikasetti suorittaa testin ja lähettää tiedot lukulaitteeseen. Lukija lähettää sitten tuloksen Bluetoothin kautta käyttäjän Cue Health -mobiilisovellukseen (saatavilla iOS- ja Android).

Gannon kertoi havainnoistaan Cue Healthille, joka käynnisti tarkemmat tutkimukset välittömästi ja teki prosessiin pikaisesti tietoturvaparannuksia. WithSecuren ilmoittamaa ongelmaa ei ole löytynyt muista testimalleista.

— Teknologiamme luotettavuus ja turvallisuus on yrityksellemme äärimmäisen tärkeää. Arvostamme WithSecuren löydöksiä ja yhteistyötä. Vahvistimme, että teknisesti taitavat henkilöt pystyvät muuttamaan testitulosta, ja tämän jälkeen julkaisimme nopeasti ohjelmistopäivityksen. Ohjelmistopäivitys korjasi ongelman, jota hyödyntämällä COVID-19-testituloksia pystyi väärentämään Cue Health -sovelluksessa, sanoo Vimal Subramanian (VP of Information Security & Privacy, Cue Health).

Gannon havaitsi samankaltaisia ongelmia eri toimittajan COVID-19-testissä viime joulukuussa (*), ja sanoi odottavansa lisää tietoturvaongelmia tämänkaltaisissa testimenetelmissä.

Negatiiviset COVID-19-testit ovat vielä vaatimuksena esimerkiksi matkustettaessa Yhdysvaltoihin. COVID-19-rajoitusten kiertämiseen liittyvät huijaukset olivat keskusteluissa aiemmin tänä vuonna, kun kahta sairaanhoitajaa New Yorkissa syytettiin COVID-19-rokotekortteihin liittyvistä 1,5 miljoonan dollarin petoksista (**).

— Olen viime aikoina tutkinut COVID-testejä ammatillisesta uteliaisuudesta. Näkemäni ongelmat ovat kuitenkin melko yleisiä monissa erityyppisissä laitteissa, kuten IOT-laitteissa. Näiden laitteiden yleistyessä on tärkeää, että toimittajat löytävät tapoja korjata tietoturvaongelmat ennen kuin ne aiheuttavat ongelmia loppukäyttäjille. Olen tyytyväinen yhteistyöhön Cue Healthin kanssa ja siihen, että saimme parannettua testien luotettavuutta, Gannon kertoo.

— Arvostimme sitä, että Ken otti yhteyttä tiimiimme tutkimuksensa suhteen. Tällaisten ongelmien ilmoittaminen suoraan yrityksille auttaa tekemään tuotteista turvallisempia ja luotettavampia, ja juuri näin olemme tehneet tässä tapauksessa, Subramanian lisää.   

Lisää tutkimuksesta: https://www.withsecure.com/en/expertise/research-and-innovation/research/faking-another-positive-covid-test

*Lähde: https://labs.f-secure.com/blog/faking-a-positive-covid-test
**Lähde: https://www.insider.com/long-island-nurses-arrested-millions-fake-covid-vaccine-card-scheme-2022-1

Median yhteyshenkilö:
Sanna Syrjäläinen
PR Manager, Nordics
WithSecure™
+358 40 8349277