Die NHS-App weist weitere offensichtliche Sicherheitslücken auf, und dies wird jetzt nur noch lächerlich

0

Die NHS-App zur Kontaktverfolgung stößt immer wieder auf Probleme mit der Mehrheit der am Projekt beteiligten Personen, die auf schwerwiegende Mängel und Sicherheitsbedenken hinweisen, aber sie machen aus unbekannten Gründen weiter. Und jetzt wird es nur noch albern.

Die Sicherheitsanalyse der aktuellen Iteration der App, die auf der Isle of Wight noch getestet wird und sich bereits als mit Problemen in Bezug auf die Funktionalität behaftet herausstellt, weist auf eine Reihe von Problemen hin, die bereits markiert wurden, und zeigt im Allgemeinen, was für ein absolutes Problem Witz ist es in Bezug auf Privatsphäre und Datenschutz. Der Bericht äußert sich auch besorgt darüber, dass die Regierung darauf besteht, die Daten zu behalten, sobald die Pandemie vorbei ist und die App nicht mehr benötigt wird. Das Löschen der Daten, die nur aufgrund der Pandemie übermittelt werden, sollte durchaus sinnvoll sein, wenn das Sammeln keinen schändlichen Zweck hat. Wenn Sie dies ablehnen, sollten Sie sofort Alarmglocken auslösen.

Bisher wurde die App wegen möglicher Verstöße gegen die Menschenrechts- und Datenschutzgesetze kritisiert und hat grundlegende Tests in Bezug auf Sicherheit und Schutz nicht bestanden. Es wurden interne Dokumente von NHSX durchgesickert, die weitere Datenschutzverletzungen und die Absicht enthüllten, die Daten nach der Pandemie aufzubewahren – die zur Identifizierung von Personen verwendet werden können. Harriet Harman, Vorsitzende des Gemeinsamen Menschenrechtsausschusses (JCHR), prüft derzeit die Einführung eines Gesetzentwurfs für ein privates Mitglied, in dem Schutzmaßnahmen und Beschränkungen für die Möglichkeiten der Regierung mit den Daten gefordert werden.

„Wir können uns nicht auf die derzeit fehlgeschlagene Mischung von Schutzmaßnahmen verlassen, die für diese Situation nie vorgesehen waren. Wir brauchen neue Gesetze.

„Die Sammlung unserer Bewegungen und physischen Kontakte durch die Regierung wäre früher unverständlich gewesen, aber jetzt geschieht es. Großmächte erfordern große Schutzmaßnahmen. Die Regierung sollte nicht widerstehen, dass ihre Zusicherungen in das Gesetz aufgenommen werden. Das Parlament hat die Notstandsgesetzgebung für neue Befugnisse abgeschlossen. Es kann es jetzt für neue Schutzmaßnahmen tun. “

In dem Bericht werden auch neue Rechtsvorschriften gefordert, die sicherstellen, dass die Daten nur für den COVID-19-Schutz verwendet werden, und Folgendes festgelegt:

“Es sollte gesetzlich vorgeschrieben sein, dass am Ende der Krise alle von der App gesammelten Daten sicher gelöscht und nicht nur” anonymisiert “oder für andere Zwecke verwendet werden.”

Es geht weiter:

„Darüber hinaus wirkt sich die Verpflichtung der Öffentlichkeit, Bluetooth auf ihren Geräten zu aktivieren, auf ihre Privatsphäre insgesamt aus und ermöglicht die kommerzielle Profilerstellung und Nachverfolgung als Nebeneffekt. Es ist verständlich, dass zu diesem Zeitpunkt Kompromisse eingegangen werden müssen, aber es sollte ein angemessener gesetzlicher Schutz bereitgestellt werden, um sicherzustellen, dass die Öffentlichkeit nicht als Nebeneffekt der Installation der Contact Tracing-App einen Verlust der Privatsphäre erleidet.

„Insbesondere sollte die Verwendung von Anwendungsdaten für andere Zwecke als die Rückverfolgung von Kontakten absolut verboten sein. Australien hat einige Rechtsvorschriften für einige dieser Ziele ausgearbeitet, obwohl noch einige Lücken bestehen [in the]Australien COVIDSafe Exposure Draft. Bisher hat das Vereinigte Königreich nicht behauptet, dass ähnliche Schutzmaßnahmen bevorstehen werden. Eine solche Gesetzgebung sollte die Verwendung von Bluetooth für die Profilerstellung oder Verfolgung während der Krisenzeit verhindern, um die Privatsphäre der Benutzer bestmöglich zu schützen und die Anmeldung und Nutzung einer Bluetooth-Kontaktverfolgungs-App zu fördern. “

Ein weiterer Fehler dann. Wie zu erwarten ist, ist der Bericht auch kein Fan des zentralisierten Ansatzes von NHSX und sagt, er sei “nicht davon überzeugt, dass die wahrgenommenen Vorteile der zentralisierten Rückverfolgung die Risiken überwiegen”. Dr. Vanessa Teague, Chief Executive von Thinking Cybersecurity und eine der Autoren des Berichts, sagte:

„Es kann immer noch Fehler und Sicherheitslücken im dezentralen oder im zentralisierten Modell geben. Der große Unterschied besteht jedoch darin, dass eine dezentrale Lösung keinen zentralen Server mit den aktuellen persönlichen Kontakten jeder infizierten Person haben würde. Es besteht also ein viel geringeres Risiko, dass diese Datenbank durchgesickert oder missbraucht wird. “

Weitere im Bericht gekennzeichnete Probleme sind der Registrierungsprozess, der die Integrität von Verschlüsselungsschlüsseln nicht ordnungsgemäß garantiert, wodurch “die wichtigsten Sicherheitsziele des Protokolls, einschließlich seiner Privatsphäre und seines Widerstands gegen Spoofing und Manipulation, vollständig untergraben werden”. Ein weiteres Datenschutzproblem besteht darin, dass Standortdaten verwendet werden können, um Personen zu verfolgen und „Lifestyle-Attribute über den Uploader“ zu enthüllen – eine höfliche Art zu sagen, wenn Sie sich für eine Affäre interessieren oder mitten in der Nacht herumschleichen Aus einem anderen Grund kann festgestellt werden, wer die Daten wo und mit wem Sie sich treffen. Dr. Chris Culnane, der zweite Autor des Berichts, fügte hinzu:

„Die Risiken sind insgesamt unterschiedlich. In Bezug auf die Registrierungsprobleme ist das Risiko relativ gering, da ein Angriff auf einen gut geschützten Server erforderlich wäre, was wir nicht für besonders wahrscheinlich halten.

“Das Risiko für unverschlüsselte Daten ist jedoch höher, denn wenn jemand Zugriff auf Ihr Telefon erhält, kann er möglicherweise zusätzliche Informationen erhalten, da diese darauf gespeichert sind.”

Culnane sagte, er sei zuversichtlich, dass NHSX die technischen Probleme beheben werde, teilt jedoch die Meinung von Harriet Harman, dass in diesem beispiellosen Szenario neue Gesetze erforderlich sind:

„Ich bin zuversichtlich, dass sie die technischen Probleme beheben werden. Es gibt jedoch umfassendere Probleme im Zusammenhang mit dem Mangel an Rechtsvorschriften zum Schutz der Verwendung dieser Daten [including the fact]Es gibt keine strikte Begrenzung, wann die Daten gelöscht werden müssen.

“Dies steht im Gegensatz zu Australien, das sehr strenge Grenzen für das Löschen seiner App-Daten am Ende der Krise hat.”

Es scheint, dass Harman nicht so besorgt ist wie zuvor angegeben, mit dem Eingeständnis, dass sie die App herunterladen würde, obwohl sie keine Ahnung hat, wofür die Daten verwendet werden würden, und zu wissen, dass es keine Gesetzgebung gibt, um sie zu schützen Als die Vielzahl von Sicherheits- und Datenschutzproblemen, also danke für die Leute im Komitee, die ein halbes Gehirn zwischen sich haben:

“Ich persönlich würde die App selbst herunterladen, selbst wenn ich mir Sorgen darüber mache, wofür die Daten verwendet werden.” Mein Ausschuss war jedoch der Ansicht, dass diese App nur dann verwendet werden sollte, wenn sie verwendet wird [the government]ist bereit, den Schutz der Privatsphäre einzurichten. “

Wenn ein Abgeordneter so bereit ist, seine Privatsphäre mit schwuler Hingabe aus dem Fenster zu werfen, würde ich seinen Platz in einem Menschenrechtsausschuss in Frage stellen, aber es ist etwas beruhigend, dass es genug Rückschläge gegen die App gibt, dass neue Gesetze vorgeschlagen werden.

Matt Hancock, den Sie vielleicht an seinen Kommentaren zu einer Pandemie erkennen, bei der es nicht an der Zeit ist, über die Gehälter von Krankenschwestern zu sprechen, oder an seinen Ungenauigkeiten beim Thema dieser App, glaubt nicht, dass es ein Problem gibt, das keine Überraschung ist. Anfang dieser Woche sagte Hancock, dass wir eigentlich überhaupt keine neuen Gesetze brauchen, “weil das Datenschutzgesetz die Arbeit erledigen wird”. Klar, verdammt noch mal, wenn es der Regierung erlaubt, all diese Daten zu behalten und damit zu tun, was zum Teufel es will. Wir empfehlen Ihnen, die bisherige Berichterstattung über die App zu lesen, da sie ein ziemlich düsteres Bild ergibt. Wenn Sie sie dennoch herunterladen möchten, können Sie mir möglicherweise auch ein Bild von der Vorder- und Rückseite Ihrer Bank zur Verfügung stellen Karte – für Forschungszwecke. [BBC News]

Foto von Tim Mossholder auf Unsplash

Share.

Comments are closed.