DTA 在收到通知 21 天后修复 COVIDSafe Bluetooth 漏洞

澳大利亚研究人员发表的研究结果进一步戳破了联邦政府冠状病毒接触者追踪应用程序COVIDSafe的漏洞。
来自George Robotics的Jim Mussared和来自澳大利亚国立大学的Alwen Tiu强调了基于蓝牙的联系人跟踪应用程序中的“静音配对问题”，这次是在Android上。

漏洞使攻击者可以与运行该应用程序易受攻击版本的Android手机进行静默绑定。绑定过程涉及交换受害手机的永久标识符：手机中蓝牙设备的标识地址和称为Identity的加密密钥解析密钥（IRK）。这些标识符中的任何一个都可以用于电话的长期跟踪，。

Mussared解释调查结果，称该问题使攻击者可以在运行COVIDSafe的情况下与用户的手机进行静音配对。

一旦配对，即使卸载了COVIDSafe或者电话已恢复出厂设置，这也使他们能够永久跟踪电话。这样做的方法是公开蓝牙MAC地址，该地址将响应L2CAP ping。

通常情况下，您只会看到电话的“随机”可解析私人地址，该地址会定期更改，在配对期间，配对显示的身份地址在电话的整个生命周期内都是固定的。

该问题已在45天前报告给Digital Transformation Agency（DTA），并已在24天前COVIDSafe 1.0.18版本中修复。

DTA能够为此找到一个解决方法但是，COVIDSafe的设计必须依赖于使用蓝牙，而蓝牙的设计并非如此，蓝牙可以在一定范围内连接到任何不受信任的设备。

此问题是不使用苹果或者谷歌曝光通知API的结果。如果EN API已经改为使用，我们就会有一个功能更强大，更可靠，更安全和值得信赖的应用程序。

虽然本地版本是固定的，但该漏洞可能会影响其他几个共享相似架构的联系人跟踪应用程序，例如新加坡的TraceTogether和艾伯塔省的ABTraceTogether。

一夜之间，英国决定放弃自己的合同跟踪应用程序，而是依靠Google和Apple API。

英国卫生与社会保健部表示：“虽然它尚无法提供可行的解决方案，但现阶段基于Google / Apple API的应用似乎最有可能解决通过我们的现场测试确定的某些特定局限性。”

有消息称DTA知道COVIDSafe存在严重漏洞的情况下，在2020年4月26日发送给公众使用。

该机构发布的文件显示，在该应用上线当天进行的蓝牙日志记录测试表明，iPhone（特别是iPhone X至iPhone 6）正在以“较差”的评级传输数据（评级低于25％）。

软件工程师理查德·纳尔逊（Richard Nelson）发布了研究报告，锁定的iPhone在通过COVIDSafe进行日志记录时几乎没有用。

他说，具有过期ID的锁定iPhone无法生成新ID，并且没有ID的设备将在其周围记录其他设备，但其他人则无法记录。

DTA在五月表示，在发布之前，已经针对Apple iOS和Google Android版本的COVIDSafe App进行了功能和性能测试。

系统进行了179项功能测试，包括各种状态下各种设备类型之间的蓝牙状态，包括手机处于锁定和解锁状态以及应用程序处于打开状态和未打开状态。

DTA将继续发布COVIDSafe应用程序的更新，以根据需要提供一系列性能，安全性和可访问性改进。尽管缺乏社区传播的COVID-19，但该应用程序仍能够安全有效地运行。

截至2020年6月12日星期五，已有630万澳大利亚人下载了该应用程序。

在其他地区，德国的“ Corona-Warn”应用程序在24小时内宣称下载了650万次下载，约占该国人口的7.8％。