F-Secure usa falha no teste COVID-19 em casa para falsificar resultados

Os pesquisadores de segurança usaram uma vulnerabilidade do Bluetooth para alterar os resultados negativos para positivos.

Pesquisadores de segurança encontraram uma vulnerabilidade em um teste doméstico para COVID-19 que um agente mal-intencionado poderia usar para alterar os resultados do teste de positivo para negativo ou vice-versa. A F-Secure descobriu que o Ellume COVID-19 Home Test pode ser manipulado por meio do dispositivo Bluetooth que analisa uma amostra nasal e comunica os resultados ao aplicativo.

Ellume corrigiu a falha depois que a F-Secure explicou a vulnerabilidade. O Ellume é um dos testes que os viajantes podem usar para entrar nos Estados Unidos. Alguns organizadores de eventos estão exigindo comprovação de vacinação para os participantes, incluindo a CES 2022. Se um participante testar positivo durante o evento, será solicitado que ele devolva o crachá do evento e fique em quarentena por 10 dias.

Veja como o teste funciona: um usuário baixa um aplicativo, responde a algumas perguntas de triagem, assiste a um vídeo informativo e, em seguida, realiza o teste. O dispositivo de teste se conecta ao aplicativo via Bluetooth para relatar os resultados do teste.

A empresa explicou a falha da seguinte forma:

“A F-Secure determinou que, alterando apenas o valor do byte que representa o ‘status do teste’ no tráfego STATUS e MEASUREMENT_CONTROL_DATA, seguido pelo cálculo de novos valores de CRC e checksum, era possível alterar o resultado do teste COVID antes que o aplicativo Ellume processasse os dados.”

Pesquisadores de segurança exploraram a vulnerabilidade para alterar um teste negativo para positivo. O aplicativo informa automaticamente os dados necessários às autoridades de saúde por meio de uma conexão de nuvem compatível com HIPAA.

A Allume também oferece um serviço de observação por vídeo para verificar o processo de realização do teste e os resultados. Um fiscal observa um indivíduo fazendo o teste e, em seguida, emite um certificado com os resultados.

Esse relatório falso foi refletido no certificado oficial emitido pela Ellume, que listou um resultado positivo do teste para COVID-19. A F-Secure postou os arquivos de pesquisa para este experimento no Github.

VEJA: Dream da Salesforce facilita a verificação de vacinas para eventos presenciais

Ken Gannon, principal consultor de segurança do escritório da F-Secure em Nova York, encontrou a falha que permite que um agente mal-intencionado altere os resultados após o analisador Bluetooth realizar o teste, mas antes que os resultados sejam relatados pelo aplicativo.

“Antes das correções de Ellume, indivíduos altamente qualificados ou organizações com experiência em segurança cibernética tentando contornar as medidas de saúde pública destinadas a conter a propagação do COVID poderiam ter feito isso replicando nossas descobertas”, disse Gannon em um comunicado à imprensa. “Alguém com a motivação e habilidades técnicas adequadas poderia ter usado essas falhas para garantir que eles, ou alguém com quem estão trabalhando, obtenha um resultado negativo toda vez que for testado.”

A F-Secure entrou em contato com a Ellume para explicar essas descobertas antes de fazer um anúncio público e recomendou que a empresa tomasse as seguintes medidas:

• Implemente uma análise mais aprofundada dos resultados para sinalizar dados falsificados
• Implemente verificações adicionais de ofuscação e SO no aplicativo Android

Alan Fox, chefe de sistemas de informação da Ellume, disse em um comunicado à imprensa que a empresa atualizou seu sistema para detectar e impedir a transmissão de resultados falsificados.

“Também entregaremos um portal de verificação para permitir que organizações – incluindo departamentos de saúde, empregadores, escolas e outros – verifiquem a autenticidade do Ellume COVID-19 Home Test”, disse ele. “Gostaríamos de agradecer à F-Secure por trazer esse problema à nossa atenção.”

O teste caseiro de Ellume foi aprovado pela FDA em dezembro de 2020 e é um dos testes que os viajantes internacionais podem usar para mostrar resultados negativos.