Un chercheur en sécurité a découvert une vulnérabilité Bluetooth dans un test COVID-19 à domicile populaire lui permettant de modifier ses résultats.
Le chercheur de F-Secure, Ken Gannon, a identifié la faille corrigée depuis dans le test à domicile Ellume COVID-19, un test d’antigène auto-administré que les individus peuvent utiliser pour vérifier s’ils ont été infectés par le virus. Plutôt que de soumettre un échantillon à un centre de test, l’échantillon est testé à l’aide d’un analyseur Bluetooth, qui rapporte ensuite le résultat à l’utilisateur et aux autorités sanitaires via l’application mobile d’Ellume.
Gannon a toutefois découvert que l’analyseur Bluetooth intégré pouvait être trompé pour permettre à un utilisateur de falsifier un résultat certifiable avant que l’application Ellume ne traite les données.
Pour effectuer le piratage, Gannon a utilisé un appareil Android rooté pour analyser les données que le test envoyait à l’application. Il a ensuite identifié deux types de trafic Bluetooth qui étaient très probablement chargés de dire à l’application mobile si l’utilisateur était COVID positif ou négatif, avant d’écrire deux scripts capables de transformer avec succès un résultat négatif en un résultat positif.
Les faux résultats du test COVID-19 à domicile d’Ellume. (Crédits d’image : F-Secure)
Gannon dit que lorsqu’il a reçu un e-mail avec ses résultats d’Ellume, il a montré à tort qu’il avait été testé positif. Pour compléter la preuve de concept, F-Secure a également obtenu avec succès une copie certifiée conforme des faux résultats du test COVID-19 d’Azova, un fournisseur de télésanté avec lequel Ellume s’associe pour certifier les tests COVID-19 à domicile pour les voyages ou les voyages. travail.
Alors que l’article de Gannon n’inclut que le changement des résultats négatifs en résultats positifs, il dit que le processus « fonctionne dans les deux sens ». Il a également déclaré qu’avant qu’il ne soit corrigé, « quelqu’un avec la motivation et les compétences techniques appropriées auraient pu utiliser ces défauts pour s’assurer qu’ils, ou quelqu’un avec qui ils travaillent, obtiennent un résultat négatif à chaque fois qu’ils sont testés ». En théorie, une fausse certification pourrait être soumise pour répondre aux exigences de réadmission des États-Unis.
En réponse aux découvertes de F-Secure, Ellume dit avoir mis à jour son système pour détecter et empêcher la transmission de résultats falsifiés.
« Nous fournirons également un portail de vérification pour permettre aux autorités – y compris les services de santé, les employeurs, les écoles, les organisateurs d’événements et autres – de vérifier l’authenticité du test à domicile Ellume COVID-19 », a déclaré Alan Fox, responsable des systèmes d’information d’Ellume. « Ellume est confiant dans la fiabilité de nos résultats de test ECHT, et nous tenons à remercier F-Secure d’avoir attiré notre attention sur ce problème et pour le travail qu’ils accomplissent chaque jour pour protéger les consommateurs, les entreprises et les organisations du monde entier.