Aplicaciones de rastreo de contactos de Google/Apple susceptibles a ataques digitales

Desde el comienzo de la pandemia de COVID-19, los científicos y las autoridades sanitarias han confiado en las tecnologías de rastreo de contactos para ayudar a controlar la propagación del virus. Sin embargo, hay una falla importante en un marco que utilizan muchas de estas aplicaciones móviles, una que los atacantes podrían explotar para aumentar las notificaciones de falsos positivos.

Las aplicaciones impulsadas por el marco de notificación de exposición de Google/Apple (GAEN) están ampliamente disponibles en muchos países y funcionan de manera más eficiente en segundo plano en su teléfono. Pero los investigadores de la Universidad Estatal de Ohio dijeron que descubrieron que estas aplicaciones son susceptibles a los ataques de reproducción geográfica, que es cuando un tercero captura los datos del teléfono de rastreo de contactos transmitidos por un usuario desde un área y los explota transmitiéndolos repetidamente en otra lejana. ubicación de distancia.

Los ataques de repetición se pueden usar para explotar las debilidades electrónicas para obtener acceso a las redes digitales, causar efectos dañinos en los dispositivos móviles o envenenar conjuntos de datos con información falsa. Teniendo en cuenta cuánto depende la sociedad de datos de salud honestos, la mala información puede ser especialmente dañina en términos de seguimiento de COVID-19, dijo el coautor del estudio Anish Arora, profesor y presidente de informática e ingeniería en el estado de Ohio.

«Los piratas informáticos o los actores del estado-nación podrían aprovecharse de un usuario honesto y reproducir sus datos de seguimiento de contactos en cualquier parte del mundo», dijo Arora.

Por ejemplo, si alguien en Columbus con COVID-19 tuviera sus datos de baliza de seguimiento de contactos capturados por un tercero, su información podría transmitirse a una o varias ciudades a miles de millas de distancia y retransmitirse a otras personas cercanas. Si esta persona fuera diagnosticada positiva para COVID-19, alguien que en realidad no ha tenido ningún contacto con una persona infectada podría ser alertado de que sí lo ha hecho.

Eso significa que los atacantes podrían esencialmente crear superpropagadores digitales, iniciando un proceso que comparte grupos de balizas de exposición falsa en diferentes áreas, dijo Arora.

«Debido a que el marco funciona como un protocolo inalámbrico, cualquiera puede inyectar algún tipo de exposición falsa, y esos encuentros falsos podrían afectar la confianza del público en el sistema», dijo.

Aunque un aumento en las notificaciones de falsos positivos socavaría el bien público detrás de las aplicaciones de rastreo de contactos, el coautor Zhiqiang Lin, profesor de informática e ingeniería en el estado de Ohio, dijo que también podría tener consecuencias económicas y sociales en cascada, como hacer que las personas faltar al trabajo o cancelar actividades personales diarias y vacaciones planificadas desde hace mucho tiempo. Este potencial aumenta cuando las pruebas son escasas o en países económicamente desfavorecidos que no tienen acceso a las vacunas, agregó Lin, quien ha estudiado las vulnerabilidades de ciberseguridad en el software digital durante más de una década.

Sin embargo, los investigadores pudieron encontrar un parche para este defecto fatal. «La parte más difícil fue encontrar una solución que fuera práctica y que no impidiera que los usuarios usaran la aplicación», dijo Lin.

El equipo ideó un prototipo basado en el marco original de Google y Apple, al que llamaron GAEN+, pronunciado «Gain Plus». Después de implementarlo en un dispositivo Android (el prototipo también se puede trasladar fácilmente a los dispositivos Apple), ejecutaron el prototipo a través de una serie de experimentos para probar sus defensas contra ataques de repetición maliciosos. Llegaron a la conclusión de que, en comparación con el marco de trabajo de Google y Apple, GAEN+ pudo prevenir de manera eficaz los falsos positivos y, al mismo tiempo, preservar la privacidad del usuario.

El equipo presentó su solución el 12 de julio en la reunión anual de la conferencia Simposio de Tecnologías de Mejora de la Privacidad (PETS) celebrada este año en Sídney, Australia.

Lin dijo que si bien el equipo puede no ser el primero en encontrar la falla de Google y Apple, actualmente son el primer equipo en demostrarle a la comunidad digital más grande cómo se puede aprovechar de una «manera distribuida y de bajo costo».

«Es posible que hayan pensado que esto no podría tener consecuencias graves», dijo. Pero, en general, Lin describe su modificación del protocolo de rastreo de contactos como «muy mínima» para una defensa tan sólida contra posibles ataques.

«Nuestra mejora es la preservación de la privacidad», dijo Arora. En lugar de depender de datos GPS precisos como otras soluciones propuestas, GAEN+ utiliza datos de ubicación gruesos de puntos de acceso Wi-Fi y torres de telefonía celular de una manera inteligente que mantiene el anonimato, dijo.

El equipo recibió el agradecimiento de Google por encontrar y corregir la debilidad. Para garantizar que GAEN+ esté disponible para el público, el equipo colocó el código fuente de la solución en GitHub, una plataforma que aloja el código en línea.

«Cuando los futuros desarrolladores diseñen protocolos similares, nos aseguraremos de que tengan la oportunidad de considerar nuestras recomendaciones», dijo Arora. «Ambas compañías crearon un producto que puede hacer mucho bien en el mundo. Solo queremos que GAEN sea mucho más difícil de explotar».

Otros coautores fueron Christopher Ellis y Haohuang Wen, ambos estudiantes graduados en informática e ingeniería en el estado de Ohio.