06:32 24/04/2021
Chúng tôi vừa thấy trang vnhacker.blogspot.com phát hiện một lỗ hỏng cực kì nghiêm trọng của Bluezone (khẩu trang điện tử), chúng tôi sẽ cập nhật tin mới từ bạn ấy từng phút, từng giây ở đây cho các bạn dễ cập nhật!
07:41 24/04/2020 VnHacker
Bluezone phải yêu cầu người dùng cấp quyền truy cập thông tin vị trí vì Android bắt buộc (nguồn). Đây là một tính năng Privacy của Android, vì thông qua Bluetooth có thể định vị vị trí của người dùng. Cảm ơn bạn Triệu Minh Khôi đã chỉ ra (nhưng không hiểu sao lại xóa comment rồi àh đã post còm mới rồi). Bluezone yêu cầu quyền đọc và ghi external storage, đây là nơi Android lưu hình ảnh, tài liệu. Bạn Triệu Minh Khôi có nói sở dĩ Bluezone làm vậy là vì muốn backup các ID Bluezone đã thu thập được. Tôi nghĩ không nên backup thông tin nhạy cảm ra external storage, vì đây là nơi ai cũng có thể đọc.
08:32 27/04/2020
Cập nhật 8:30PM 24/4/2020 thì VnHacker có tên "Thái":
( Ngoài việc không thay đổi mã ID Bluezone, ứng dụng Bluezone cũng không thay đổi địa chỉ Bluetooth của thiết bị) Chỗ này không công bằng với Bluezone vì muốn thay đổi địa chỉ Bluetooth thì cần sự hỗ trợ của hệ điều hành và phần cứng. Để an toàn, mã ID Bluezone và địa chỉ Bluetooth phải được đổi cùng lúc. Trên một số dòng điện thoại Android, nếu ứng dụng khởi động lại quá trình gửi quảng cáo qua Bluetooth thì địa chỉ Bluetooth sẽ thay đổi, nhưng chuyện này còn phụ thuộc vào nhà sản xuất điện thoại. Còn trên iOS hiện giờ tôi không biết có cách nào không. API mới mà Google/Apple sắp phát hành vào tháng 5 năm nay hi vọng sẽ tự động hóa việc này, các ứng dụng truy vết như Bluezone có thể dùng lại mà không cần quan tâm đến vấn đề này nữa.
Tôi đã xác nhận Bluezone ghi xuống external storage những ID Bluezone và địa chỉ của các thiết bị mà nó đã thấy. Tất cả các ứng dụng khác trên cùng điện thoại có thể đọc được dữ liệu này và qua đó có thể biết được người dùng đã gặp ai, ở đâu, vào lúc nào. Các ứng dụng này cũng có thể xóa hay ngụy tạo dữ liệu để khiến người dùng bị False Positive (không bị phơi nhiễm nhưng bị quy là có) và False Negative (bị phơi nhiễm nhưng tưởng là không).
Để hiểu rõ tác hại của những vấn đề này, xin tham khảo phân tích an ninh và riêng tư cho các giải pháp truy vết tiếp xúc của DP3T.
DP3T trên GitHub: https://github.com/DP-3T
08:39 27/04/2020 Giới thiệu bài viết bởi Hacker này
Bluezone là ứng dụng truy vết tiếp xúc, giúp cảnh báo nếu bạn đã ở gần người nhiễm COVID-19. Ứng dụng này do Chính phủ Việt Nam phát hành và được thực hiện bởi các doanh nghiệp công nghệ số Việt Nam gồm: Memozone, VNPT, MobiFone và BKAV. Ngày 18/4/2020 VnExpress dẫn lời Bộ trưởng Nguyễn Mạnh Hùng:
Bluezone là bước tiến mới, có tính đột phá trong việc sử dụng công nghệ để phòng chống dịch bệnh. Đột phá ở chỗ, chính quyền không thu thập thông tin người dân [...] người dân có thể giám sát phần mềm mình đang dùng có an toàn không. Chúng ta không phải quốc gia đầu tiên dùng giải pháp này, nhưng phần mềm Việt Nam giải quyết được cơ bản các lỗi của các phần mềm trước đó.
Trong kết luận tại cuộc họp Thường trực Chính phủ về phòng, chống dịch COVID-19 ngày 23/4/2020, Thủ tướng Nguyễn Xuân Phúc cũng đã yêu cầu “khẩn trương đánh giá [...] ứng dụng Bluezone”. Tôi thấy vui mừng khi Chính phủ Việt Nam quan tâm đến quyền riêng tư của người dân. Sẵn có chút nghề trong người, thông qua một người bạn, tôi đã ngỏ ý trực tiếp với BKAV sẽ giúp họ đánh giá an ninh, nhưng cho đến nay chưa nhận được phản hồi. Ngày 24/4/2020, sau khi thấy ứng dụng Bluezone cho Android được đưa lên Google Play, tôi đã tải về coi thử.
Bằng cách dịch ngược mã phần mềm, tôi đã phát hiện nhiều lỗ hổng nghiêm trọng ảnh hưởng đến sự an toàn và riêng tư của người dùng. Tại thời điểm tôi viết những dòng này, đã có gần 10.000 người đăng ký sử dụng Bluezone và con số này tăng lên rất nhanh, chỉ riêng hôm nay đã tăng gấp 3 lần. Tôi muốn gửi lời cảnh báo đến tất cả mọi người, ai đã lỡ cài thì nên gỡ bỏ, còn ai chưa cài thì không nên cài.
Tôi đã gửi toàn bộ thông tin chi tiết về lỗ hổng đến BKAV. Tôi đề nghị BKAV và các đơn vị phát triển Bluezone tạm ngừng phát hành sản phẩm này. Thay vì tìm cách sửa chữa giải pháp hiện thời, tôi đề nghị sử dụng lại các giải pháp mở đã được thiết kế và kiểm định bởi những chuyên gia có uy tín. Giải pháp mở tốt nhất hiện tại là DP3T của Châu Âu.
Nếu việc phát triển Bluezone diễn ra trên một không gian mở như GitHub (mạng xã hội của lập trình viên), những vấn đề này đã sớm được phát hiện. Tôi đề nghị nhóm phát triển Bluezone ngay lập tức chuyển tất cả mã nguồn, tài liệu và đưa việc phát triển Bluezone lên GitHub.
Các quốc gia khi phát triển giải pháp truy vết tiếp xúc đều tham khảo ý kiến của các chuyên gia. Tôi thấy ứng dụng Bluezone có rất nhiều lỗ hổng sơ đẳng, chứng tỏ việc thiết kế và triển khai không có sự tham gia của những chuyên gia về an ninh mạng và riêng tư. Tôi đề nghị Chính phủ Việt Nam tổ chức đánh giá và phản biện độc lập trước khi giới thiệu với người dân một ứng dụng nhạy cảm như Bluezone.
| Cách hoạt động của Bluezone |
09:47 28/04/2020 GitHub đã mở 1 vấn đề mới: Bluezone IDs should be rotated (#4)
Tôi đã báo cáo lỗ hổng này qua email vào ngày 23 tháng 4, nhưng tôi chưa nhận được phản hồi, vì vậy tôi nghĩ mình sẽ báo cáo lại tại đây. Nếu đã có kế hoạch giải quyết vấn đề này, vui lòng chia sẻ những gì bạn sẽ làm.
Bluezone chỉ định mỗi cài đặt một ID 6 ký tự cố định và phát đi phát lại nhiều lần. Có rất nhiều thiết kế theo dõi liên hệ, nhưng tôi nghĩ Bluezone là thiết kế duy nhất sử dụng ID cố định. Tôi hy vọng tất cả chúng ta đều hiểu tại sao việc sử dụng ID cố định có hại cho quyền riêng tư của người dùng, nhưng hãy cho tôi biết nếu bạn muốn tôi giải thích thêm.
Một số người nghĩ rằng việc thay đổi ID không quan trọng vì dù sao thì địa chỉ MAC của Bluetooth cũng đã được sửa. Đây không phải là sự thật.
Bluetooth có hai tiêu chuẩn phụ: Bluetooth Classic và Bluetooth Low Energy. Thiết bị Bluetooth Classic có thể phát hiện được hoặc không phát hiện được. Khi có thể phát hiện được, nó sẽ phát địa chỉ MAC, tên thiết bị và các thông tin khác. Nhưng khi nó không thể phát hiện được, nó không phát đi bất cứ thứ gì. Về quyền riêng tư, cả Android và iOS đều không thể phát hiện được theo mặc định. Nói chung, điện thoại có thể được phát hiện nếu và chỉ khi màn hình ghép nối Bluetooth (xem nhận xét tiếp theo của tôi) đang chạy ở nền trước, ví dụ: chỉ khi người dùng muốn ghép nối với các thiết bị khác.
Cả Android và iOS cũng ngẫu nhiên hóa địa chỉ MAC khi phát quảng cáo BLE. Trên Android, các thử nghiệm của nhiều nhóm khác nhau cho thấy rằng việc khởi động lại quảng cáo BLE khiến HĐH chọn một địa chỉ MAC ngẫu nhiên mới, ít nhất là trên điện thoại Samsung và Pixel. Trên iOS, các thử nghiệm của một người bạn của tôi cho thấy rằng hệ điều hành tự động chọn một địa chỉ MAC ngẫu nhiên mới mỗi giờ hoặc lâu hơn.
Để khắc phục sự cố này, tôi khuyên bạn nên tạo ID tạm thời, theo thiết kế của một trong các dự án sau:
- DP3T
- TCN
- Đề xuất của Apple / Google cũng là một đề xuất tốt - thông số kỹ thuật công khai hiện tại có một số vấn đề, nhưng nó sẽ sớm được cập nhật. Một lợi thế nhỏ của thiết kế này là bạn có thể chuyển đổi liền mạch sang các API Android / iOS mới khi chúng được phát hành sau một vài tuần.
Vui lòng xác nhận rằng bạn đồng ý rằng đây là một lỗ hổng và bạn sẽ sửa nó. Tôi có thể giúp xem xét việc triển khai của bạn.
Tôi đã nhờ giáo sư Kenny Paterson @kennypaterson từ DP3T và Henry de Valence @hdevalence từ TCN giúp đỡ. Họ được 'CCed, sẽ nhận được thông báo, có thể giúp hướng dẫn bạn tích hợp với thiết kế và triển khai của họ. Vui lòng đặt bất kỳ câu hỏi nào mà bạn có thể có về DP3T hoặc TCN. Bạn có thể hỏi bằng tiếng Việt nếu không cảm thấy thoải mái với tiếng Anh. Tôi sẽ dịch.
Chỉnh sửa: thay đổi "ứng dụng Cài đặt Hệ thống Bluetooth" thành "Màn hình ghép nối Bluetooth".
Chỉnh sửa: lưu ý rằng Kenny và Henry được 'CCed và có thể trả lời các câu hỏi.
Chỉnh sửa: làm rõ rằng các thử nghiệm BLE đã được thực hiện trên điện thoại Samsung và Pixel.
09:47 28/04/2020 GitHub đã mở 1 vấn đề mới: Bluezone IDs should be rotated (#4)
Tôi muốn làm rõ khi nào điện thoại có thể được phát hiện khi bật Bluetooth.
- Điện thoại Android (được thử nghiệm trên Pixel, xem nhận xét tiếp theo của tôi) có thể phát hiện được trong các trường hợp sau:
Người dùng đang nhìn thấy Màn hình cài đặt Bluetooth của Android
Một ứng dụng cho phép khả năng khám phá bằng cách sử dụng API này . Một hộp thoại sẽ được hiển thị, yêu cầu sự cho phép của người dùng để thiết bị có thể phát hiện được:
hộp thoại kích hoạt khả năng khám phá
- iPhone chỉ có thể được phát hiện trong các trường hợp sau:
Người dùng đang nhìn thấy Màn hình cài đặt Bluetooth của Iphone
Tôi không biết liệu iOS có cung cấp API cho phép các ứng dụng bật khả năng khám phá như Android hay không.
Chỉnh sửa: làm rõ rằng xác nhận quyền sở hữu đầu tiên chỉ được thử nghiệm trên Pixel.
Tôi nhận thấy rằng trên điện thoại Android của các nhà sản xuất Trung Quốc như Xiaomi, Oneplus, Oppo, Bluetooth sẽ luôn có thể phát hiện được khi được bật và người dùng không thể thay đổi cài đặt này.
Trong nhiều năm, người dùng đã phàn nàn rộng rãi về lỗ hổng bảo mật / quyền riêng tư khủng khiếp này nhưng vô ích.
Có vẻ như các ứng dụng theo dõi liên hệ như Bluezone nên kiểm tra và tắt khả năng phát hiện, tất nhiên với sự cho phép của người dùng. Điều này có vẻ khả thi, như được quảng cáo bởi ứng dụng này: https://play.google.com/store/apps/details?id=com.minol.miuibl Bluetoothfix .
Cần thêm công việc để xác minh xem các thiết bị này có ngẫu nhiên hóa địa chỉ MAC Bluetooth LE hay không. Nếu không, những biện pháp đối phó là có thể.
00:47 02/05/2020 BKAV đã lên tiếng như sau:
Chào @thaidn , cảm ơn bạn đã có góp ý cho dự án Bluezone. Vì bạn là người Việt Nam nên mình sẽ trao đổi bằng tiếng Việt trong phần trả lời của mình.
Some people think that changing the ID doesn't matter because the Bluetooth MAC address is fixed anyway. This is not true.
Trong whitepaper nhóm phát triển cũng nói rõ:
Với tín hiệu Bluetooth Classic quảng bá sẽ luôn gắn với 1 địa chỉ MAC cố định của điện thoại từ khi xuất xưởng
Nói về an ninh mạng thì khi đã quảng bá một thông tin cố định như vậy là có thể định danh thiết bị rồi, Hacker sẽ dùng cách này hay cách khác để có nếu muốn, do đó việc sinh ID ngẫu nhiên không làm thiết bị ẩn danh tốt hơn. Trong whitepaper, nhóm cũng không nói là không có ý định sinh ID ngẫu nhiên, trái lại Bluezone sẽ sử dụng ID ngẫu nhiên khi nó có ý nghĩa. Cụ thể trong whitepaper đã nói rằng nhóm có những trao đổi với nhóm của Apple và Google về vấn đề của Bluetooth Classic, hi vọng dự án hợp tác giữa Apple và Google có thể sớm đưa ra chuẩn Bluetooth mới. Khi đó Bluezone sẽ sử dụng phần sinh ID ngẫu nhiên của Apple/Goolge vì lúc đó ID ngẫu nhiên mới có ý nghĩa. Hiện tại nhóm vẫn đang tích cực làm việc cùng với đội phát triển API của Apple và GG để thúc đẩy việc sử dụng ID ngẫu nhiên hiệu quả và có ý nghĩa hơn.
Cảm ơn @thaidn và mong tiếp tục nhận được đóng góp của bạn với dự án này.
09:53 02/05/2020 Và người có biệt danh VnHacker có tên @thaidn cũng đáp lại...
Nói về an ninh mạng thì khi đã quảng bá một thông tin cố định như vậy là có thể định danh thiết bị rồi, hacker sẽ dùng cách này hay cách khác để có nếu muốn, do đó việc sinh ID ngẫu nhiên không làm thiết bị ẩn danh tốt hơn.
Tôi đã giải thích tại sao điện thoại sẽ không quảng bá địa chỉ của Bluetooth Classic. Điện thoại của một số nhà sản xuất Trung Quốc làm vậy, nhưng điện thoại của Samsung hay Google thì không. Vả lại app cũng có thể tắt chức năng quảng bá này trên điện thoại của Trung Quốc.
Trong whitepaper, nhóm cũng không nói là không có ý định sinh ID ngẫu nhiên, trái lại Bluezone sẽ sử dụng ID ngẫu nhiên khi nó có ý nghĩa. Cụ thể trong whitepaper đã nói rằng nhóm có những trao đổi với nhóm của Apple và Google về vấn đề của Bluetooth Classic, hi vọng dự án hợp tác giữa Apple và Google có thể sớm đưa ra chuẩn Bluetooth mới. Khi đó Bluezone sẽ sử dụng phần sinh ID ngẫu nhiên của Apple/Goolge vì lúc đó ID ngẫu nhiên mới có ý nghĩa. Hiện tại nhóm vẫn đang tích cực làm việc cùng với đội phát triển API của Apple và GG để thúc đẩy việc sử dụng ID ngẫu nhiên hiệu quả và có ý nghĩa hơn.
Nếu Bluezone chuyển sang sử dụng API của Apple/Google thì quá tốt.
Nhưng nói cho rõ phần Apple và Google làm không liên quan gì đến việc thay đổi địa chỉ Bluetooth Classic. Giải pháp này sử dụng Bluetooth Low Energy. Địa chỉ BLE đã được chọn ngẫu nhiên rồi, giải pháp của Apple và Google chỉ đồng bộ việc thay đổi địa chỉ BLE và mã định dang người dùng.
11:09 03/05/2020 Tài khoản @hadv cũng đã nói rõ về việc nhận diện nhầm người bị nhiễm
Trong tài liệu, Bluezone còn muốn thu thập địa chỉ MAC của những người không sử dụng Bluezone App nữa mà nên họ không quan tâm đến việc sử dụng địa chỉ MAC ngẫu nhiên để đảm bảo Privacy cho người dùng đâu!
| Ảnh chụp màn hình từ trang chủ Bluezone |
12:23 03/05/2020 @thenewvu cũng đã nói bằng tiếng Anh và chúng tôi đã dịch ở đây
@thaidn nói những gì anh ấy tìm thấy, đó là một điều tốt, nhưng anh ấy không nói những sự thật khác, rất nhiều người đứng về phía anh ấy, tôi sẽ không phản đối bất cứ ai, tôi chỉ muốn nói cho bạn biết thêm một chút sự thật.
- Thực tế là điện thoại của bạn chủ động hiển thị dữ liệu của bạn cho nhiều thứ khác , trong phạm vi lớn hơn nhiều so với bluetooth, chẳng hạn như GPS, tháp di động, điểm phát sóng không dây, ...
- Thực tế là dữ liệu bị lộ có thể là IP của bạn, danh tính SIM, MAC của thiết bị, tên thiết bị, SMS, âm thanh cuộc gọi, dữ liệu duyệt internet ...
- Thực tế là dữ liệu bị lộ có thể được thu thập bởi một thiết bị trung gian.
- Thực tế là dữ liệu bị lộ có thể bị chia sẻ / rò rỉ cho bên thứ 3 bởi các nhà cung cấp dịch vụ.
Tất cả chúng ta đang sống trong một nền công nghiệp công nghệ với rất nhiều tiêu chuẩn chưa hoàn thiện, một số tiêu chuẩn thậm chí còn trở nên tồi tệ hơn. Vấn đề này là một vấn đề, nhưng nếu bạn xem xét nó với những người khác, vấn đề này là nhỏ.
Hãy đứng từ quan điểm của các nhà sản xuất, những người thực sự làm nên chuyện, có thể mất hàng tháng, đến hàng năm để xây dựng một thứ gì đó hoạt động hiệu quả, thậm chí có thể mất nhiều tháng để ổn định sau một sự thay đổi, đặc biệt là một sự thay đổi về kiến trúc. Nếu bạn thực sự xây dựng một cái gì đó, bạn hiểu ý tôi.
Dự án này là một trong những phản ứng nhanh với đại dịch COVID-19 của một công ty Việt Nam, mặc dù tôi không thấy (không có nghĩa là nó không có) bất kỳ công nghệ cốt lõi nào của Việt Nam ở đây, chỉ "sử dụng" những thứ thịnh hành, nhưng tôi vẫn cân nhắc. nó như là một phản ứng nhanh tốt .
Vậy là xong, an toàn nhé mọi người.
12:48 05/05/2020 @thaidn đã trả lời @thenewvu
Từ TFA:
Khi bạn tải xuống và chạy ứng dụng, điện thoại của bạn sẽ được gán một số ngẫu nhiên lớn (GUID 128 bit) để hoạt động như danh tính cố định nhưng ẩn danh của bạn (chúng tôi sẽ gọi nó là ID cài đặt từ bây giờ). Chỉ thiết bị của bạn và máy chủ NHS mới biết điều đó. Ứng dụng hỏi người dùng phần đầu tiên của mã bưu điện của họ (chẳng hạn như LS1 hoặc SW1A để lập kế hoạch tài nguyên NHS) và nó ghi lại kiểu điện thoại của bạn (ví dụ: 'Apple iPhone 10,2'). Điện thoại của bạn và hệ thống cũng kết thúc bằng việc thống nhất một số khóa mật mã, bao gồm một khóa được sử dụng để xác thực cài đặt của bạn và một số thông số hệ thống. Không có gì nhận dạng và không có dữ liệu cá nhân nào được lấy từ thiết bị hoặc người dùng.
Mỗi ngày, thiết bị của bạn tạo một cặp khóa đường cong elliptic ngẫu nhiên và mã hóa ID cài đặt của bạn (và một số công cụ quản trị khác như khoảng thời gian) với nó theo cách mà chỉ máy chủ NHS mới có thể khôi phục, mang đến cho bạn một mã hóa hàng ngày, ngẫu nhiên, được mã hóa 'bãi'.
Điều này có nghĩa là ứng dụng NHS là tập trung - điều này xấu hay tốt tùy thuộc vào người bạn nói chuyện - nhưng nó không sử dụng ID cố định. Bluezone vẫn là ứng dụng theo dõi liên hệ duy nhất trên toàn thế giới sử dụng ID cố định.
12:50 05/05/2020 @thenewvu đã trả lời @thaidn
Nó sử dụng các ID cố định, nhưng chúng được mã hóa bằng khóa mới hàng ngày, bạn đã trích dẫn nó:
Khi bạn tải xuống và chạy ứng dụng, điện thoại của bạn sẽ được gán một số ngẫu nhiên lớn (GUID 128 bit) để hoạt động như danh tính cố định nhưng ẩn danh của bạn (chúng tôi sẽ gọi nó là ID cài đặt từ bây giờ). Chỉ thiết bị của bạn và máy chủ NHS mới biết điều đó.
Vấn đề quan trọng hơn của Bluezone ID là nó dễ đoán và có khả năng chống va chạm yếu. Nhưng họ có thể đã giải quyết nó bằng cách tạo tiền tố thời gian ID của họ ở phía phụ trợ (tôi đoán).
12:58 05/05/2020 @thaidn
@thenewvu ID đó không phải là ID mà nó đã phát qua BLE. Đoạn cuối cùng cho thấy cách nó tạo ra các ID BLE. Bluezone, tuy nhiên, phát đi phát lại cùng một ID.
#thenewvu: Theo tôi hiểu, đó là ID cố định, chỉ cần mã hóa, phía máy chủ sẽ giải mã để khôi phục ID cố định.
Quay lại vấn đề ở đây, thay vì nói về việc sử dụng cái này tốt hơn, sử dụng cái kia tốt hơn, chúng ta nên mang tính xây dựng, các nhà sản xuất phải giải quyết các vấn đề về mở rộng, tương thích ngược và bảo trì, chúng ta không
Câu hỏi mà chúng tôi có thể giúp ở đây là, Làm thế nào để cải thiện ID theo dõi của họ để không làm hỏng ứng dụng và mặt sau của họ, đồng thời vẫn có thể hoạt động với các ID hiện có?
Một giải pháp ngây thơ nảy ra trong đầu tôi là:
| 1 byte for version | 8 bytes for expire time | 7 bytes for random |
Phiên bản không có byte 0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz, vì các ID cũ có thể chứa các byte đó.
Thời gian hết hạn có thể là thời gian tạo ID + 14 ngày. 8 byte nếu tính theo thời gian posix, 4 byte nếu đếm từ 1/1/2020.
ID sẽ được tạo lại nếu:
ID không liên hệ với bất kỳ ID nào đã được xác nhận / có thể bị nhiễm
Thời gian hết hạn đã qua.
Công thức ID này có khả năng chống va chạm mạnh hơn. Mã mới có thể dễ dàng phát hiện ID mới theo byte phiên bản. Mã cũ vẫn cần thiết để xử lý các ID cũ.
00:50 31/07/2020 Thaidn đã cập nhật trên Blog của người đó
Bài này được viết từ hồi tháng 4/2020. Sau đó đội ngũ phát triển Bluezone đã có những chỉnh sửa để khắc phục các lỗ hổng liệt kê ở đây. Tuy vậy tôi vẫn chưa thấy họ công bố chính thức cách họ làm (cụ thể là cách họ tạo và thay đổi mã Bluezone ID). Tôi không biết mã nguồn mà họ đã công bố trên GitHub có phải là mã nguồn mới nhất hay không, nên nếu muốn đánh giá lại phải Reverse Engineering khá mất thời gian. Cuối tuần này tôi sẽ dành thời gian coi và sẽ gửi thông báo sau.
08:00 07/08/2020 Thông báo của Thaidn
Có vẻ như điều này đã được sửa.
Kể từ đầu tháng 5, Bluezone đã bắt đầu sử dụng ID luân phiên, được tạo bằng thuật toán không giống như DP3T.
08:09 07/08/2020 Tóm tắt lại các lỗ hỏng nghiêm trọng
- Bluezone sử dụng sóng Bluetooth để phát và thu mã số ngẫu nhiên. Thay vì liên tục thay đổi mã số ngẫu nhiên như các giải pháp của Singapore, Châu Âu hay Google/Apple, mỗi người sử dụng Bluezone chỉ có một mã số duy nhất, gọi là mã ID Bluezone. Người sử dụng không thể thay đổi mã số này, trừ khi xóa và cài lại ứng dụng. Cách làm không giống ai này khiến người sử dụng có thể bị theo dõi, bị lộ thông tin vị trí, hành trình, đã gặp ai, có bị nhiễm hay phơi nhiễm hay không.
- Ngoài việc không thay đổi mã ID Bluezone, ứng dụng Bluezone cũng không thay đổi địa chỉ Bluetooth của thiết bị. Nếu không thay đổi địa chỉ Bluetooth người dùng sẽ bị theo dõi và lộ bị lộ thông tin vị trí, hành trình, đã gặp ai, có bị nhiễm hay phơi nhiễm hay không. Đây cũng làm một cách làm không giống ai, vì các giải pháp của Châu Âu, Singapore hay Google/Apple đều nhấn mạnh phải thay đổi địa chỉ Bluetooth.
- Mã ID Bluezone quá ngắn, dễ dẫn đến trùng mã. Tổng số lượng mã ngẫu nhiên là ở khoảng 36^6, tức lớn hơn 2^31 một chút. Theo nghịch lý ngày sinh, chỉ cần 2^16 người đăng ký sử dụng, tức là khoảng 65 ngàn người, thì sẽ có hai người có mã ID Bluezone trùng nhau với xác suất cao. Khi đó, nếu một trong hai người bị nhiễm (phơi nhiễm), người kia cũng sẽ bị tính là nhiễm (phơi nhiễm)!
- Thuật toán tạo mã ID Bluezone rất dễ đoán. Chỉ cần biết thời điểm bạn đăng ký sử dụng app, người khác có thể đoán được mã ID của bạn. Tôi có thể tính được mã ID Bluezone của tất cả người dùng. Nếu bị lộ mã ID Bluezone, người dùng có thể bị kẻ xấu quy kết là đã nhiễm bệnh hoặc phơi nhiễm, dẫn đến bị cách ly, mặc dù hoàn toàn khỏe mạnh.
- Khi chạy app Bluezone lần đầu tiên, Bluezone đăng ký để nhận tin nhắn từ máy chủ BKAV qua dịch vụ Firebase Cloud Messaging. Quá trình đăng ký dựa vào ID Bluezone, nhưng vì ID Bluezone có thể bị đoán trước, kẻ xấu có thể dễ dàng đăng ký để nhận mã ID Bluezone của tất cả người dùng, hoặc của một nhóm người dùng. Khi đó tất cả tin nhắn mà máy chủ BKAV gửi xuống người dùng đều sẽ bị lộ.
- Ứng dụng Bluezone Android yêu cầu người dùng cấp quyền truy cập thông tin vị trí, hình ảnh, tài liệu lưu trên điện thoại. Bluezone không cần sử dụng những thông tin này để thực hiện truy vết. Nhóm phát triển ứng dụng nên gỡ bỏ những yêu cầu này.
• End Live (Kết thúc cập nhật vào 16:30 08/08/2020)
0 Nhận xét