Medicare App曝漏洞，可伪造疫苗接种证明！姓名日期随便改，10分钟就搞定（组图）

澳洲广播公司报道称，Medicare App被曝存在“明显的”安全漏洞。通过这款免费的应用程序，10分钟之内就可以伪造出一份近乎完美的疫苗接种电子证明。

悉尼软件工程师Richard Nelson发现，Express Plus Medicare应用程序中存在一个“明显的”安全漏洞。

利用这个漏洞，他可以伪造数字接种证书，接种者姓名以及接种日期随便改。伪造的证书还带有旨在防伪的背景动画。

总理莫里森此前曾表示，这些证书是各州执行豁免政策时的一种“可靠且有效的”方式。

联邦以及州政府计划给与接种疫苗者更多的自由，但是这一漏洞可能会令这一计划受到影响。

（图片来源：ABC/摄影师：Services Australia）

上周的一天晚上，Nelson在使用Express Plus Medicare应用程序时发现，软件中当前使用的系统（两个多月前推出）存在安全漏洞。

“这是一个非常常见的漏洞。我认为肯定会有某种手段来阻止这种攻击，但并没有。”

有安全专家证实，这是一种“明显的”漏洞，在对软件进行基本的安全评估时就应该能被发现。

为了证明伪造数字接种证书有多么的容易，Nelson用了10分钟的时间制作了一张带有自己姓名的伪造证书。

“我觉得在反疫苗人群中传播这个消息可不是个好主意。没有有效接种证书的人可以很容易地出示一份伪造证书，内容随便填，”Nelson说道。

安全漏洞会被修复吗？

Nelson向政府报告了自己发现的安全漏洞，但尚未收到任何回复。

负责数据和数字政策的就业部长Stuart Robert的发言人表示，政府已经“多次更新了疫苗接种证书。政府将继续更新……包括更新更多的安全措施。”

从这份回应来看，目前尚不清楚政府是否会修补这个漏洞（这需要更新Medicare应用程序）。

基本的安全评估就能发现漏洞

澳洲广播公司报道称，此次被曝出的安全漏洞与议员Rex Patrick本月早些时候发现的另外一个漏洞有所不同。

此前，Patrick利用“几个图形工具”就伪造了PDF格式的接种证书。

Rex Patrick（图片来源：ABC/摄影师：Matthew Doran）

不过，从Nelson贴出的视频中可以看到，他发现的伪造出来的证书更复杂些，还包含一些防伪特征。

Nelson表示，安全审计中“绝对”提出过这个的漏洞，要么就是没有进行安全审计。

这已经不是经验丰富的软件开发人员Nelson第一次在政府的IT系统中发现漏洞。

去年，他就与其它一些行业人士发现COVIDSafe应用存在一些问题。比如，无法在苹果手机锁屏后正常运行。

科技界的另一位知名成员、数据安全专家Vanessa Teague表示，在COVIDSafe程序出现问题后，Medicare应用程序被曝漏洞并不令人意外。

“哦，是的，修复那个漏洞很容易，只要5分钟，”Teague说道。

“接种证书需要二维码数字签名”

Teague还说，疫苗接种证书还存在一个更大的安全问题。

其他一些设计，例如欧盟使用的设计，具有二维码形式的数字签名，可以验证真伪，防止欺诈。这样的证书更难被伪造。

欧盟版数字接种证书（图片来源：ABC/摄影师： Artur Widak）

“他们必须实施一些类似于欧盟的设计。必须要有一些加密方式来验证接种证书上的信息是否正确。”

莫里森已表示，将在10月对疫苗数字接种证书进行全面改革。不过，尚不清楚新版本是否仅用于国际旅行，或者是否会与现有版本的疫苗证书共同使用。

7 月初，负责实施各种数字健康计划的法定机构澳洲数字卫生署（Australian Digital Health Agency）发布了一份有关用于存储数字疫苗接种证书以及COVID-19检测结果的手机应用程序招标书。

拟议的移动应用程序将“在2021年12月之前”准备就绪，并具有“多重身份验证和反欺诈功能”。

（Gleen）