Эксплуатация уязвимости позволяет получить доступ к конфиденциальной информации любого пользователя.
Специалисты из международной неправительственной организации Amnesty International обнаружили опасную уязвимость в приложении EHTERAZ для отслеживания контактов с зараженными, которое правительство Катара обязало граждан и резидентов страны установить на свои мобильные устройства. Эксплуатация уязвимости позволяет злоумышленникам получить доступ к конфиденциальной информации, включая имя, идентификационный номер физического лица, информацию о состоянии здоровья и данные о местонахождении более 1 млн пользователей.
EHTERAZ запрашивало QR-код с центрального сервера, предоставляя идентификационный номер зарегистрированного пользователя. Никакой дополнительной аутентификации не требовалось, поэтому любой мог запросить QR-код для любого пользователя EHTERAZ. Отсутствие аутентификации позволяло автоматически генерировать все возможные комбинации национальных идентификаторов и получать конфиденциальные данные приложения.
Конфиденциальная информация, содержащаяся в QR-коде, включала имена на английском и арабском языках, данные о местоположении и названия медицинских учреждений, в которых проходит лечение человек с диагнозом COVID-19.
Приложение EHTERAZ было разработано Министерством внутренних дел Катара и использует технологии GPS и Bluetooth для отслеживания контактов с зараженными коронавирусной инфекцией (COVID-19), что может свидетельствовать о намерении властей следить за передвижениями граждан. Приложение также запрашивает разрешение на доступ к фото- и видеоматериалам на устройстве, осуществление звонков, отключение блокировки экрана, запуск сервисов в фоновом режиме, а также на чтение, удаление и изменение данных в общей памяти устройства. Ehteraz было выпущено в прошлом месяце и является обязательным к установке.
Специалисты сообщили о своих находках властям Катара 21 мая, и на следующий день уязвимость была устранена.
Никаких овечек — только отборные научные факты