TEST: zabezpečenie digitálnych očkovacích certifikátov je spoľahlivé
28. 1. 2022
TEST: zabezpečenie digitálnych očkovacích certifikátov je spoľahlivé

​Pustili sme sa do komplexných testov zabezpečenia medzinárodných očkovacích certifikátov EÚ COVID-19. Ich ochrana je jedným slovom spoľahlivá a ochrana osobných údajov v rámci systému týchto certifikátov tiež maximálne účinná. Tiež sme zistili, že dostatočne kvalitné je aj zabezpečenie mobilných aplikácií Tečka a čTečka.

Analýza európskeho COVID certifikátu, ktorý je určený na preukazovanie zdravotného stavu v súvislosti s ochorením covid-19, ukazuje na vysokú úroveň kybernetickej ochrany systému. Takisto Tečka a čTečka, dve tuzemské oficiálne aplikácie na správu a kontrolu digitálnych COVID-19 očkovacích certifikátov, sú transparentné a bezpečné. Vyplýva to z preverovania vykonaného kolegami z divízie Security Assessment. 

„Obe aplikácie sú opísané a zostavené podľa súčasných trendov a pravidiel, ktoré odporúčame svojim klientom,“ konštatuje z pozície Mobile Security Specialist kolega Martin Musil. Jediným nedostatkom je tak podľa jeho slov fakt, že produkčná verzia aplikácií Tečka aj čTečka pre platformu Android v sebe obsahujú hypertextové odkazy na testovacie prostredie ministerstva zdravotníctva či ÚZIS. Tie sú verejne dostupné a mohli by prípadne hackerom slúžiť ako miesto pre ich útoky. 

Stále však platí, že žiadny z doposiaľ zverejnených problémov spojených s COVID certifikátmi nepadá na vrub sofistikovanému napadnutiu uvedených aplikácií. Súčasné podvody sú umožnené jednak niektorými evidentnými chybami v zabezpečení certifikačných serverov v jednotlivých krajinách EÚ, zastaranými počítačovými systémami v ordináciách lekárov a tiež pochybením konkrétnych zodpovedných osôb vrátane pracovníkov očkovacích centier. 

Jedným z dôležitých zistení pre bezpečie používateľov je, že aplikácia čTečka si lokálne do svojej pamäte neukladá signatúry naskenovaných certifikátov, či dokonca celý QR kód, ale iba zaznamenáva počet takto skontrolovaných certifikátov a ich stav. „Zjednodušene povedané tak nehrozí, že úradníci, zamestnanci v službách alebo napríklad podnikatelia v pohostinstve by mohli zbierať kontrolované certifikáty návštevníkov a nelegálne s nimi ďalej nakladať,“ dodal kolega Martin.