ब्लूटूथ होम COVID-19 परीक्षण में एक नया बग गलत परिणाम दे सकता है – VanityKippah

Written by Frank James

एक सुरक्षा शोधकर्ता ने क्यू हेल्थ के होम COVID-19 परीक्षण किट में एक बग की खोज की है जो उपयोगकर्ताओं को परिणामों को गलत साबित करने की अनुमति दे सकता है।

क्यू हेल्थ का COVID-19 टेस्ट किट एक ब्लूटूथ-संचालित आणविक परीक्षण है जो 20 मिनट के भीतर एक सकारात्मक नमूने का पता लगा सकता है। सिस्टम सिंगल-यूज कार्ट्रिज में डाले गए नेज़ल स्वैब का उपयोग करके कोरोनावायरस के लिए परीक्षण करता है और बैटरी से चलने वाले क्यू रीडर द्वारा विश्लेषण किया जाता है, जो फिर ब्लूटूथ के माध्यम से परीक्षार्थी के फोन पर क्यू हेल्थ ऐप पर परिणाम भेजता है। मार्च 2021 में, क्यू की प्रणाली घर और ओवर-द-काउंटर उपयोग के लिए FDA से आपातकालीन मंजूरी प्राप्त करने वाली पहली COVID-19 आणविक परीक्षण किट बन गई।

जबकि उस समय FDA ने COVID-19 परीक्षण के लिए Cue Health के अभिनव दृष्टिकोण की सराहना की, F-Secure के कॉर्पोरेट सुरक्षा प्रभाग, WithSecure के एक सुरक्षा सलाहकार केन गैनन ने परीक्षण किट में एक दोष की खोज की जो परीक्षण के परिणामों को बदल सकता है।

यह दूसरी बार है जब उसी शोधकर्ता द्वारा कनेक्टेड COVID-19 परीक्षण में सुरक्षा भेद्यता की खोज की गई है, जिसने हाल ही में Elume के COVID-19 होम टेस्ट में एक समान दोष का खुलासा किया है, जो संघीय निरीक्षण के तहत परीक्षण किट की अखंडता को प्रभावित करता है। सरकार द्वारा बाजार पर सवाल उठाया गया है। आपातकालीन अनुमोदन शक्तियाँ।

भेद्यता – अब तय हो गई है – जिस तरह से क्यू रीडर ब्लूटूथ के माध्यम से प्रोटोबफ प्रोटोकॉल का उपयोग करके क्यू हेल्थ ऐप के साथ संचार करता है, जो परीक्षण डेटा को आसानी से पढ़ने वाले डेटा ब्लॉक में प्रस्तुत करता है। सकारात्मक COVID-19 परीक्षा परिणाम के लिए रीडर द्वारा उत्पन्न डेटा का ब्लॉक “10 02” या नकारात्मक परिणाम के लिए “10 03” के साथ समाप्त होता है। गैनन ने एक स्क्रिप्ट विकसित की जिसने उन्हें इन नंबरों में हेरफेर करके डेटा को इंटरसेप्ट और संशोधित करने की अनुमति दी। परिणाम में एक अंक, या “बिट-फ़्लिपिंग” को बदलकर, गैनन अपने नकारात्मक परिणाम को सकारात्मक परिणाम में बदलने में सक्षम था, साथ ही परिणामों को मान्य होने की पुष्टि करने वाला एक प्रमाण पत्र प्राप्त करने में सक्षम था।

हेरफेर किए गए COVID-19 परीक्षा परिणाम का स्क्रीनशॉट।

एक हेरफेर COVID-19 परीक्षा परिणाम। छवि क्रेडिट: केन गैनन / विथ सिक्योर

“प्रक्रिया मूल रूप से एक सकारात्मक परिणाम को नकारात्मक में बदलने के लिए समान है, जो समस्या पैदा कर सकता है यदि कोई व्यक्ति जो जानता है कि कैसे करना है मैंने परिणामों को गलत साबित करने का फैसला किया,” गैनन ने कहा। संयुक्त राज्य अमेरिका की यात्रा सहित कई गतिविधियों के लिए नकारात्मक COVID-19 परीक्षण आवश्यकता बन गए हैं।

“अभी, उन बिट्स को चारों ओर मोड़ने के लिए आवश्यक कौशल स्तर कुछ अधिक है,” गैनन ने कहा। “एक व्यक्ति को क्यू के एप्लिकेशन के भीतर मोबाइल एप्लिकेशन हैक करने और कस्टम कोड निष्पादित करने का अच्छा ज्ञान होना चाहिए। हालांकि, एंड्रॉइड एप्लिकेशन को हैक करते समय मुझे हमेशा चिंता होती है कि हैक को कस्टमाइज़ करने की क्षमता है ताकि औसत उपभोक्ता एक ही हैक कर सके। इसलिए मैं जानबूझकर तकनीकी विवरण और कस्टम कोड का खुलासा कर रहा हूं जिसे केवल रिवर्स इंजीनियर ही समझ और उपयोग कर सकते हैं।”

गैनन ने अपने शोध को क्यू हेल्थ के साथ साझा किया, जिसमें कहा गया था कि इसके पास विथसिक्योर द्वारा रिपोर्ट किए गए परिणामों के अलावा कोई गलत परीक्षण परिणाम नहीं है, लेकिन कहा कि इसमें हेरफेर किए गए परिणामों का पता लगाने के उद्देश्य से सर्वर-साइड चेक जोड़े गए हैं। क्यू हेल्थ ने Vanity Kippah का जवाब नहीं दिया जब पूछा गया कि क्या कंपनी के पास विथसिक्योर के निष्कर्षों से पहले परिणामों के हेरफेर का पता लगाने के लिए संसाधन हैं।

उपयोगकर्ताओं को क्यू हेल्थ ऐप के नवीनतम संस्करण को भी अपडेट करना चाहिए।

About the author

Frank James

Leave a Comment