Paszporty covidowe z kodami QR. Czy to bezpieczne? Eksperci odpowiadają
W poniedziałek Komisarz Unii Europejskiej ds. rynku wewnętrznego, Thierry Breton, zapowiedział wprowadzenie paszportów covidowych. Cyfrowe zaświadczenia będą zawierać imię, nazwisko, rodzaj szczepionki oraz kod QR. Pojawiają się wątpliwości o bezpieczeństwo takiego rozwiązania.
Według Bretona, prace nad paszportem covidowym zostaną ukończone maksymalnie do połowy czerwca. Nie będzie to obowiązkowy dokument, ale zaświadczenie może być potrzebne w przypadku podróży. Osoby zaszczepione będą mogły swobodnie przekroczyć granicę bez obowiązkowej kwarantanny. Niewykluczone, że paszport pomoże także dostać się do barów, kin, teatrów albo muzeów. Brytyjczycy rozważają już wprowadzenie takich regulacji.
Paszporty pojawią się w Unii Europejskiej, jeżeli dokument zatwierdzą wszystkie kraje członkowskie. Zaświadczenie ma być rozwiązaniem tymczasowym i działać do momentu, aż wszystkie osoby wyrażające chęć zaszczepienia przyjmą szczepionkę. W poniedziałek Brenton przedstawił także wygląd dokumentu w wersji elektronicznej.
Paszporty elektroniczne budzą wątpliwości – czy są na pewno bezpieczne?
Od początku marca Izraelczycy mogą korzystać już z tzw. zielonego paszportu. Tuż po jego udostępnieniu pojawiły się wątpliwości dotyczące bezpieczeństwa użytkowników. Eksperci zwracają uwagę między innymi na zamknięty kod, co nie pozwala na dokładny przegląd aplikacji. Kolejnym problemem jest znaczne spowolnienie działania smartfonów i zajmowanie sporej ilości miejsca. Do tego dochodzi problem administracji – nie wiadomo, kto ma dostęp do danych użytkowników aplikacji.
Zarówno wersja izraelska, amerykańska jak i europejska opiera się na weryfikacji za pomocą kodów QR. To rozwiązanie opracował japoński koncern motoryzacyjny prawie 30 lat temu. Kody QR pomogły znacznie usprawnić wydajność fabryk firmy Denso Wave. Aktualnie korzysta się z nich praktycznie wszędzie. Niestety, właściciele smartfonów nie zdają sobie sprawy z tego, że w kodach QR też może kryć się zagrożenie.
O ile technologii kodów QR nie sposób oszukać, o tyle można zastosować tu pewne sztuczki. Przykładowo, osoba zaszczepiona może udostępnić zrzut ekranu aplikacji paszportowej swoim znajomym. Jeżeli w barze, kinie lub w innym miejscu publicznym zostaną zapytani o paszport covidowy, mogą wykorzystać go, aby dostać się do środka. Wszystko zależy jednak od tego, czy osoby sprawdzające zaświadczenia będą odpowiednio przeszkolone. Podobne opinie mają eksperci ds. bezpieczeństwa.
Kody QR mogą zostać wykorzystane do zainfekowania całego systemu
W tym momencie nie wiemy jeszcze gdzie paszporty szczepionkowe okażą się niezbędne. Z pewnością będą wymagane w międzynarodowych portach lotniczych krajów członkowskich UE. Bezpieczeństwo zarówno systemów elektronicznych jak i samych pasażerów będzie zależało od tego, jak dobrze wyszkolone będą osoby prowadzące weryfikację paszportów.
Jeżeli osoba odpowiedzialna za sklonowanie kodów QR nie będzie świadoma takich zagrożeń, może wpaść w pułapkę cyberprzestępców. Idąc o krok dalej, sztuczkę z linkiem do zewnętrznej strony mogą wykorzystać nawet obce wywiady, aby przejąć dostęp do systemu lotniska. Wystarczy, że w odpowiedni sposób zmanipulują pracownika do zainstalowania złośliwej aplikacji, do której prowadzi link.