F-Secure utiliza fallas en la prueba casera de COVID-19 para falsificar resultados

Los investigadores de seguridad utilizaron una vulnerabilidad de Bluetooth para cambiar los resultados negativos a positivos.

Los investigadores de seguridad de F-Secure identificaron una vulnerabilidad de Bluetooth en una prueba casera para COVID-19 que podría usarse para manipular los resultados de la prueba. Ellume, el fabricante, abordó la falla cuando F-Secure compartió el problema con ellos.

Imagen: F-Secure

Los investigadores de seguridad encontraron una vulnerabilidad en una prueba casera para COVID-19 que un mal actor podría usar para cambiar los resultados de la prueba de positivo a negativo o viceversa. F-Secure descubrió que la prueba casera Ellume COVID-19 podría manipularse a través del dispositivo Bluetooth que analiza una muestra nasal y comunica los resultados a la aplicación.

Ellume solucionó la falla después de que F-Secure explicara la vulnerabilidad. Ellume es una de las pruebas que los viajeros pueden usar para ingresar a los Estados Unidos. Algunos organizadores de eventos exigen prueba de vacunación para los asistentes, incluido CES 2022. Si un asistente da positivo durante ese evento, se le pedirá que devuelva la insignia del evento y la cuarentena durante 10 días.

Así es como funciona la prueba: un usuario descarga una aplicación, responde algunas preguntas de detección, mira un video informativo y luego realiza la prueba. El dispositivo de prueba se conecta a la aplicación a través de Bluetooth para informar los resultados de la prueba.

La compañía explicó la falla de esta manera:

«F-Secure determinó que al cambiar solo el valor del byte que representa el ‘estado de la prueba’ en el tráfico STATUS y MEASUREMENT_CONTROL_DATA, seguido del cálculo de nuevos valores de CRC y suma de verificación, era posible alterar el resultado de la prueba COVID antes de que la aplicación Ellume procesara los datos.»

Los investigadores de seguridad aprovecharon la vulnerabilidad para cambiar una prueba negativa a positiva. La aplicación informa automáticamente los datos requeridos a las autoridades sanitarias a través de una conexión en la nube compatible con HIPAA.

Allume también ofrece un servicio de observación de video para verificar el proceso de toma de pruebas y los resultados. Un supervisor observa a una persona que realiza la prueba y luego emite un certificado con los resultados.

Este informe falso se reflejó en el certificado oficial emitido por Ellume, que incluía un resultado positivo de la prueba para COVID-19. F-Secure publicó los archivos de investigación para este experimento en Github.

Ken Gannon, consultor principal de seguridad en la oficina de F-Secure en la ciudad de Nueva York, encontró la falla que permite a un mal actor cambiar los resultados después de que el analizador de Bluetooth realiza la prueba, pero antes de que la aplicación informe los resultados.

«Antes de las correcciones de Ellume, las personas u organizaciones altamente capacitadas con experiencia en ciberseguridad que intentan eludir las medidas de salud pública destinadas a frenar la propagación de COVID, podrían haberlo hecho replicando nuestros hallazgos», dijo Gannon en un comunicado de prensa. «Alguien con la motivación y las habilidades técnicas adecuadas podría haber usado estos defectos para asegurarse de que él, o alguien con quien esté trabajando, obtenga un resultado negativo cada vez que se le haga la prueba».

F-Secure se comunicó con Ellume para explicar estos hallazgos antes de hacer un anuncio público y recomendó que la compañía tomara estos pasos:

Implementar análisis adicionales de resultados para marcar datos falsificados Implementar controles adicionales de ofuscación y sistema operativo en la aplicación de Android

Alan Fox, jefe de sistemas de información de Ellume, dijo en un comunicado de prensa que la empresa actualizó su sistema para detectar y prevenir la transmisión de resultados falsificados.

«También entregaremos un portal de verificación para permitir que las organizaciones, incluidos los departamentos de salud, empleadores, escuelas y otros, verifiquen la autenticidad de la prueba casera Ellume COVID-19», dijo. «Nos gustaría agradecer a F-Secure por llamar nuestra atención sobre este tema».

La prueba casera de Ellume fue aprobada por la FDA en diciembre de 2020 y es una de las pruebas que los viajeros internacionales pueden usar para mostrar resultados negativos.