Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Uczelnia wyższa w USA nakazała studentom korzystania z koszmarnej appki anty-COVID. Trackowała lokalizację non stop, miała też banalną podatność dającą pełen dostęp do backendu…
Koledż w Michigan postanowił walczyć z COVID za pomocą broni atomowej. W jej rolę wcieliła się appka, która urzeczywistnia chyba wszystkie czarne sny obrońców prywatności.
Po pierwsze aplikacja jest obowiązkowa, po drugie śledzi lokalizację użytkowników w trybie 24/7:
There’s a catch. The app is designed to track students’ real-time locations around the clock, and there is no way to opt out.
Co dalej? Appka miała zahardkodowane klucze dające dostęp do backendu:
Appka miała też kolejny poważny problem – użytkownik mógł odwołać się do backendu po ID (ID-ki były kolejnymi liczbami) i uzyskać kod QR dowolnego użytkownika – tym samym poznawał dane studenta czy jego wynik testu na COVID-19:
In other words, because we could see another user’s QR code, we could also see the student’s full name, their COVID-19 test result status and what date the student was certified or denied.
Co tutaj zawiodło, to chyba brak jakiejkolwiek świadomości, że rozwiązanie tego typu warto przeaudytować pod względem bezpieczeństwa, przed wypuszczeniem do użytkowników. Sama szkoła załatała bugi, ale wcześniej uspokajała – appka jest zgodna z HIPAA. Czyli operacja się udała, pacjent zmarł ;-)
–ms
U nich niby taka demokracja i wolność, a przymuszają do instalacji aplikacji szpiegujących.
Z drugiej strony rozumiem, że nikt się nie sprzeciwił temu pomysłowi, bo w USA sporo płacą za możliwość nauki na uczelniach wyższych.
Z drugiej strony można zainstalować i zostawić smartfon w domu. Nosić smartfona nie mogą nakazać :]
Wolność to tam może była, ale dawno, dawno temu.
Czy naprawdę mogli tak wmuszać to studentom?
W sensie że groziło to niezaliczeniem / wyrzuceniem ze studiów?
Co amerykańskie prawo na to?