Paszporty covidowe z kodami QR. Czy to bezpieczne? Eksperci odpowiadają
W poniedziałek Komisarz Unii Europejskiej ds. rynku wewnętrznego, Thierry Breton, zapowiedział wprowadzenie paszportów covidowych. Cyfrowe zaświadczenia będą zawierać imię, nazwisko, rodzaj szczepionki oraz kod QR. Pojawiają się wątpliwości o bezpieczeństwo takiego rozwiązania.
Według Bretona, prace nad paszportem covidowym zostaną ukończone maksymalnie do połowy czerwca. Nie będzie to obowiązkowy dokument, ale zaświadczenie może być potrzebne w przypadku podróży. Osoby zaszczepione będą mogły swobodnie przekroczyć granicę bez obowiązkowej kwarantanny. Niewykluczone, że paszport pomoże także dostać się do barów, kin, teatrów albo muzeów. Brytyjczycy rozważają już wprowadzenie takich regulacji.
Paszporty pojawią się w Unii Europejskiej, jeżeli dokument zatwierdzą wszystkie kraje członkowskie. Zaświadczenie ma być rozwiązaniem tymczasowym i działać do momentu, aż wszystkie osoby wyrażające chęć zaszczepienia przyjmą szczepionkę. W poniedziałek Brenton przedstawił także wygląd dokumentu w wersji elektronicznej.
Paszporty elektroniczne budzą wątpliwości – czy są na pewno bezpieczne?
Od początku marca Izraelczycy mogą korzystać już z tzw. zielonego paszportu. Tuż po jego udostępnieniu pojawiły się wątpliwości dotyczące bezpieczeństwa użytkowników. Eksperci zwracają uwagę między innymi na zamknięty kod, co nie pozwala na dokładny przegląd aplikacji. Kolejnym problemem jest znaczne spowolnienie działania smartfonów i zajmowanie sporej ilości miejsca. Do tego dochodzi problem administracji – nie wiadomo, kto ma dostęp do danych użytkowników aplikacji.
- Wybór kodów QR przez pomysłodawców aplikacji mnie nie dziwi. Na tej samej zasadzie funkcjonują one w innych sytuacjach - mogą np. zastępować bilet na samolot lub pociąg, kartę programu lojalnościowego ze stacji benzynowej lub sklepu itd. Skanowanie takiego kodu jest łatwe, szybkie i precyzyjne. Jednak jak każde rozwiązanie, które daje wygodę, kody QR mogą nieść ze sobą pewne zagrożenia, które jednak w większości są zależne od postępowania samego użytkownika smartfonu – mówi Piotr Kupczyk z Kaspersky Lab Polska.
Zarówno wersja izraelska, amerykańska jak i europejska opiera się na weryfikacji za pomocą kodów QR. To rozwiązanie opracował japoński koncern motoryzacyjny prawie 30 lat temu. Kody QR pomogły znacznie usprawnić wydajność fabryk firmy Denso Wave. Aktualnie korzysta się z nich praktycznie wszędzie. Niestety, właściciele smartfonów nie zdają sobie sprawy z tego, że w kodach QR też może kryć się zagrożenie.
O ile technologii kodów QR nie sposób oszukać, o tyle można zastosować tu pewne sztuczki. Przykładowo, osoba zaszczepiona może udostępnić zrzut ekranu aplikacji paszportowej swoim znajomym. Jeżeli w barze, kinie lub w innym miejscu publicznym zostaną zapytani o paszport covidowy, mogą wykorzystać go, aby dostać się do środka. Wszystko zależy jednak od tego, czy osoby sprawdzające zaświadczenia będą odpowiednio przeszkolone. Podobne opinie mają eksperci ds. bezpieczeństwa.
- Jeżeli do włączenia urządzenia nie trzeba podawać kodu/wzoru lub używać odcisku palca/skanu twarzy, wówczas nawet pozostawienie telefonu w jakimkolwiek miejscu publicznym może skutkować kradzieżą danych, także takich jak paszport covidowy. Można także wyobrazić sobie sytuację, w której świeżo upieczony posiadacz takiego paszportu sam z radości chwali się nim, publikując w mediach społecznościowych zrzut ekranu lub swoje zdjęcie, na którym wyraźnie widać telefon z wyświetlonym kodem QR. Podkreślam jednak, że mamy tu do czynienia raczej z błędami lub brakiem wiedzy użytkowników, a nie z wadami technologii – dodaje Piotr Kupczyk.
Kody QR mogą zostać wykorzystane do zainfekowania całego systemu
W tym momencie nie wiemy jeszcze gdzie paszporty szczepionkowe okażą się niezbędne. Z pewnością będą wymagane w międzynarodowych portach lotniczych krajów członkowskich UE. Bezpieczeństwo zarówno systemów elektronicznych jak i samych pasażerów będzie zależało od tego, jak dobrze wyszkolone będą osoby prowadzące weryfikację paszportów.
- Takie skanowanie powinno zostać dodatkowo wsparte kontrolą tożsamości, np. poprzez okazanie dowodu osobistego lub innego dokumentu, który na to pozwala. Dzięki takiej korelacji z paszportu covidowego nie mógłby skorzystać ktoś, kto np. zrobił zrzut ekranu lub zdjęcie kodu QR na cudzym telefonie, czy też w inny sposób wszedł w jego posiadanie – tłumaczy Piotr Kupczyk z Kaspersky. - Na kod QR można spojrzeć podobnie jak na link do zasobów w internecie. Zasoby te mogą być bezpieczne lub nie. Kod QR może kierować do dowolnych zasobów online, np. do szkodliwego programu lub do strony phishingowej, przygotowanej przez oszustów, by wyłudzać dane użytkowników. Dlatego gdy skanujemy takie kody, powinniśmy zwracać uwagę na komunikat, który informuje nas, gdzie to przekierowanie nas zabierze. Jeżeli chcemy dodatkowo zwiększyć bezpieczeństwo, możemy skorzystać ze skanerów kodów proponowanych przez producentów z branży cyberochrony lub zainstalować na swoim smartfonie dobry program antywirusowy – kontynuuje ekspert.
Jeżeli osoba odpowiedzialna za sklonowanie kodów QR nie będzie świadoma takich zagrożeń, może wpaść w pułapkę cyberprzestępców. Idąc o krok dalej, sztuczkę z linkiem do zewnętrznej strony mogą wykorzystać nawet obce wywiady, aby przejąć dostęp do systemu lotniska. Wystarczy, że w odpowiedni sposób zmanipulują pracownika do zainstalowania złośliwej aplikacji, do której prowadzi link.
