F-Secure utiliza un fallo en test casero de COVID-19, para falsear los resultados

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Investigadores de seguridad de F-Secure, identificaron una vulnerabilidad de Bluetooth en una prueba casera de COVID-19 que podría utilizarse para manipular los resultados de las pruebas. Ellume, el fabricante, solucionó el fallo cuando F-Secure les comunicó el problema.

Los expertos encontraron una vulnerabilidad en una prueba casera de COVID-19 que un mal actor podría utilizar para cambiar los resultados de la prueba de positivos a negativos o viceversa. F-Secure descubrió que el test doméstico COVID-19 de Ellume podía ser manipulado a través del dispositivo Bluetooth que analiza una muestra nasal y comunica los resultados a la aplicación.

Ellume es una de las pruebas que los viajeros pueden utilizar para entrar en Estados Unidos. Algunos organizadores de eventos están exigiendo una prueba de vacunación a los asistentes, incluido el CES 2022. Si un asistente da positivo durante ese evento, se le pedirá que devuelva la tarjeta de identificación del evento y que entre en cuarentena durante 10 días.

La prueba funciona así: El usuario se descarga una aplicación, responde a unas cuantas preguntas de selección, ve un vídeo informativo y luego realiza la prueba. El dispositivo de prueba se conecta a la aplicación mediante Bluetooth para informar de los resultados de la prueba.

Los investigadores de seguridad explotaron la vulnerabilidad para cambiar una prueba negativa a positiva. La app comunica automáticamente los datos requeridos a las autoridades sanitarias a través de una conexión en la nube que cumple con la HIPAA.

Allume también ofrece un servicio de observación por vídeo para verificar el proceso de realización de la prueba y los resultados. Un supervisor observa a la persona que realiza la prueba y luego emite un certificado con los resultados.

Este informe falso se reflejaba en el certificado oficial emitido por Ellume, en el que figuraba un resultado positivo en la prueba de COVID-19. F-Secure publicó los archivos de investigación de este experimento en Github.

F-Secure se puso en contacto con Ellume para explicarle estos hallazgos antes de hacer un anuncio público y le recomendó que tomara estas medidas:

Implementar un mayor análisis de los resultados para señalar los datos falsos y controles adicionales de ofuscación y del sistema operativo en la aplicación de Android.

Con información de Europa Press.