一名安全研究人员发现了Cue Health公司家用COVID-19检测试剂盒的一个漏洞,可能会让用户伪造结果。Cue Health的COVID-19检测试剂盒是一种蓝牙操作的分子测试,可以在20分钟内检测出阳性标本。该系统使用鼻拭子测试冠状病毒,鼻拭子 *** 入一个一次性盒中,由电池供电的Cue阅读器进行分析,然后通过蓝牙将结果传送到接受测试者手机上的Cue Health应用程序。
2021年3月,Cue的系统成为之一个获得美国食品和药物管理局紧急授权用于家庭和非处方药的COVID-19分子测试套件。
虽然FDA当时对Cue Health的COVID-19测试的创新 *** 表示赞赏,但F-Secure公司的企业安全业务WithSecure的安全顾问Ken Gannon发现了测试套件的一个缺陷,可能会使测试结果被修改。这是第二次在连接的COVID-19测试中发现安全漏洞,该研究人员最近在Ellume的COVID-19家庭测试中暴露了类似的漏洞,使人们对在联邦 *** 的紧急批准权下匆忙上市的测试套件完整性产生了怀疑。
该漏洞(现已修复)是在Cue Reader与Cue Health应用程序通过蓝牙使用Protobuf协议进行通信的过程中发现的,该协议以易于阅读的数据块呈现测试数据。阅读器生成的数据块以”10 02″结尾,表示COVID-19测试结果为阳性,或以”10 03″结尾,表示阴性。Gannon开发了一个脚本,使他能够通过操纵这些数字拦截和修改数据。通过改变结果中的一个数字,或”比特翻转”,可以将阴性结果改为阳性结果,并获得一份验证结果有效的证书。
将阳性结果改为阴性结果的过程基本相同,这可能会造成问题。阴性的COVID-19测试已经成为许多活动的要求,包括进入美国旅行。就目前而言,翻转这些位子所需的技能水平有点高,一个人需要有像样的知识进入黑客移动应用程序,并在Cue的应用程序中运行自定义代码。
然而Ken Gannon一直担心Android应用的黑客定制攻击能力,以便普通消费者可以做同样的黑客攻击。正因为如此,Ken Gannon特意披露了只有逆向工程师才能理解和使用的技术细节和定制代码。Gannon与Cue Health分享了他的研究,Cue Health表示,除了WithSecure报告的结果外,它没有发现任何伪造的测试结果,但表示它已经增加了旨在检测操纵结果的服务器端检查。当被问及公司是否有办法在WithSecure的发现之前检测出操纵结果时,Cue Health没有回应。
转自 cnBeta ,原文链接:https://www.cnbet *** /articles/tech/1261089.htm
封面来源于 *** ,如有侵权请联系删除
周五晚上,一场破坏性网络攻击使巴基斯坦国家银行运营陷入瘫痪。该事件影响了该银行的自动取款机、内部网络和移动应用程序。目前,该事件被定为抹除数据的恶意软件攻击,而不是勒索软件攻击。 该事件发生在周五和周六之间的晚上,影响了银行后台系统,并影响了用于连接银行分支机构的服务器、控制银行ATM网络的后台基础...
名为Gary Bowser的Team-Xecuter黑客组织成员已经承认了与销售硬件和软件有关的指控,这些硬件和软件允许人们在各种游戏机上玩未经授权或盗版的游戏,包括任天堂的几种游戏机。此前,美国任天堂公司在今年早些时候对该黑客发起了诉讼。 被司法部描述为世界上最臭名昭著的电子游戏盗版集团之一的T...
大多数人都知道,现代电子设备,如智能手机、平板电脑和计算机,存储了我们个人和私人生活的一系列信息,我们不希望陌生人得到这些信息。然而,许多人没有考虑到他们的车辆信息娱乐系统和其他系统内到底储存了多少个人信息。 现在一份报告研究了全球15大汽车制造商,并调查了它们之间的数据共享政策。该研究对每个品牌2...
Hackernews 编译,转载请注明出处: 一个新的安卓银行木马通过官方的 Google Play Store 分发,安装量超过50,000次,其目的是针对56家欧洲银行,从受损的设备中获取敏感信息。 这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph,据说它与另...
Hackernews 编译,转载请注明出处: 在苹果 Safari 15的 IndexedDB API 实现中放入的一个软件漏洞可能被恶意网站利用,以追踪用户在网络浏览器中的在线活动,更糟糕的是,它还可能泄露用户的身份。 2021年11月28日,防欺诈保护软件公司 FingerprintJS...
据BBC报道,本月有55名阿富汗人的资料泄露,据称,他们是Arap方案(阿富汗重新安置和援助政策)候选人。他们的电子邮件地址对所有收件人都是可见的,而这些接收者中至少有一人来自阿富汗国家军队。根据Arap方案,任何协助英国在阿富汗战斗的阿富汗人,都可以申请到英国,以免受到塔利班的迫害。如果本次的泄...