南韓的自我隔離 app 存在巨大安全漏洞
加密金鑰還被直接寫到程式碼裡了。
為了更好地抗擊新冠病毒,南韓政府制定了一套完整的測試、追蹤、隔離策略,以掌握入境者在疫情期間的身體狀況和行動軌跡。不過在這之中很重要的一環 — 隔離,日前卻被發現存在巨大的安全漏洞。據紐約時報報導,居住在首爾的安全專家 Frédéric Rechtenstein 在返回南韓後的 14 天隔離期內發現,用於監控隔離狀態的官方 app 並不會隨機生成用戶 ID。而且其加密金鑰還被直接寫到了程式碼裡,複雜程度還不高,僅僅是「1234567890123456」很容易就能被駭客猜到。
這樣一來,便給了別有用心之人伺機侵入 app 的機會。除了用戶的隱私不保外,隔離期間的行動軌跡也有可能被人惡意竄改,從而引發進一步的混亂。對於這一失誤,南韓當局已經公開致歉,並表示存在漏洞的原因主要在於相關舉措的籌備時間不足。開發了這款軟體的 Winitech,也承認自己的員工缺乏必要的訓練,未能將 app 做到足夠安全。不過其同時也強調來自政府的一些苛刻要求(比如增加更多的監控功能),拖慢了團隊除蟲、修復漏洞的進度。
不過好在開發方已於上週正式將問題解決,對應的 Android 和 iOS 新版本也已經雙雙上線。按照政府的說法,在此之前並沒有證據表明漏洞曾被人加以利用。