南韓的自我隔離 app 存在巨大安全漏洞

加密金鑰還被直接寫到程式碼裡了。

Sanji Feng
·編輯
·1 分鐘文章
SEOUL, SOUTH KOREA - 2020/04/30: People at Gimpo International Airport during the Coronavirus (COVID-19) crisis. Local infections in South Korea fall to zero for first time since its coronavirus outbreak worsened in February. (Photo by Simon Shin/SOPA Images/LightRocket via Getty Images)
SEOUL, SOUTH KOREA - 2020/04/30: People at Gimpo International Airport during the Coronavirus (COVID-19) crisis. Local infections in South Korea fall to zero for first time since its coronavirus outbreak worsened in February. (Photo by Simon Shin/SOPA Images/LightRocket via Getty Images)

為了更好地抗擊新冠病毒,南韓政府制定了一套完整的測試、追蹤、隔離策略,以掌握入境者在疫情期間的身體狀況和行動軌跡。不過在這之中很重要的一環 — 隔離,日前卻被發現存在巨大的安全漏洞。據紐約時報報導,居住在首爾的安全專家 Frédéric Rechtenstein 在返回南韓後的 14 天隔離期內發現,用於監控隔離狀態的官方 app 並不會隨機生成用戶 ID。而且其加密金鑰還被直接寫到了程式碼裡,複雜程度還不高,僅僅是「1234567890123456」很容易就能被駭客猜到。

這樣一來,便給了別有用心之人伺機侵入 app 的機會。除了用戶的隱私不保外,隔離期間的行動軌跡也有可能被人惡意竄改,從而引發進一步的混亂。對於這一失誤,南韓當局已經公開致歉,並表示存在漏洞的原因主要在於相關舉措的籌備時間不足。開發了這款軟體的 Winitech,也承認自己的員工缺乏必要的訓練,未能將 app 做到足夠安全。不過其同時也強調來自政府的一些苛刻要求(比如增加更多的監控功能),拖慢了團隊除蟲、修復漏洞的進度。

不過好在開發方已於上週正式將問題解決,對應的 Android 和 iOS 新版本也已經雙雙上線。按照政府的說法,在此之前並沒有證據表明漏洞曾被人加以利用。