Aplikacija #OstaniZdrav z varnostno ranljivostjo
Raziskovalec dr. Matej Kovačič je na svojem blogu Telefoncek.si objavil, da ima slovenska aplikacija za beleženje stikov #OstaniZdrav varnostno ranljivost, ki je bila v nemški aplikaciji sicer že odpravljena.
Kot pravi sam ranljivost sicer ni resna in se jo da brez večjih težav odpraviti. Gre za to, da bi lahko napadalec v omrežju prestregel podatkovne pakete in na podlagi količine podatkov ugotovi, da je določen uporabnik okužen. Aplikacija v primeru, da vnesemo ključ, s katerim potrdimo našo okužbo, v strežnik pošlje seznam dnevnih ključev, ta seznam je sicer šifriran, vseeno pa se lahko ugotovi golo količino prenesenih podatkov. Rešitev je dodajanje podatkov (»padding«), s čimer bi bila prenesena količina podatkov vedno enaka.
Naša aplikacija je sicer razvita po nemški, ta je popravek objavila v začetku avgusta. Programerji naše aplikacije so kodo prevzeli že pred omenjenim popravkom, a računamo, da bo pomanjkljivost hitro odpravljena. Več o tem na blogu Telefoncek.si.
