Un problema nei test, autorizzati per l'uso negli Stati Uniti, UE, Canada, India e Singapore, potrebbe aver permesso ad alcuni individui con esperienza in materia di sicurezza informatica di modificarne i risultati.
Milano, Italia – 28 aprile 2022: WithSecure™ (precedentemente nota come F-Secure Business), e la società di tecnologia sanitaria Cue Health, hanno collaborato per risolvere un problema di sicurezza che WithSecure™ ha scoperto nel test COVID-19 di Cue, che fornisce i risultati del tampone nasale via Bluetooth a un dispositivo mobile. Il problema avrebbe potuto consentire a un sottoinsieme di utenti di modificare i risultati all'interno della Health App della piattaforma.
Il test COVID-19 è un test molecolare che offre agli utenti risultati in 20 minuti con una precisione paragonabile ai test PCR eseguiti nei laboratori. Grazie alla sua velocità, accuratezza e facilità d'uso, ha ricevuto l'autorizzazione per l'uso professionale o a domicilio negli Stati Uniti, nell'Unione Europea, in Canada, India e Singapore.
Ken Gannon, consulente di sicurezza WithSecure™, ha scoperto un metodo per modificare i risultati prodotti dal test.
“Sono stato in grado di cambiare il risultato del mio test negativo in positivo intercettando e cambiando i dati mentre venivano trasmessi dal lettore di Cue all'applicazione mobile sul mio telefono. E ho fatto certificare il risultato eseguendo un test supervisionato all'interno della Health App della piattaforma", spiega Gannon. "Il processo è fondamentalmente lo stesso per cambiare un risultato positivo in negativo, il che potrebbe causare problemi se qualcuno che sa come fare quello che ho fatto io decide di iniziare a falsificare i risultati.”
Il test COVID-19 utilizza due diverse attrezzature: un kit di test (che contiene una cartuccia e un tampone per raccogliere un campione nasale) e un lettore Cue. L'utente inserisce la cartuccia del kit nel lettore, raccoglie un campione con il tampone incluso e poi mette il tampone nella cartuccia. La cartuccia esegue il test e invia i dati al lettore. Il lettore trasmette poi il risultato via Bluetooth alla piattaforma Health App (disponibile per iOS e Android) sul dispositivo mobile dell'individuo.
Gannon ha condiviso la sua ricerca con Cue Health, che ha risposto prontamente, ha avviato un'indagine e ha rapidamente implementato miglioramenti alla sicurezza per prevenire la futura falsificazione dei risultati dei test. Cue Health non è a conoscenza di risultati di test falsificati oltre a quelli riportati da WithSecure™.
“L'affidabilità e la sicurezza della nostra tecnologia è di fondamentale importanza per la nostra azienda e apprezziamo la collaborazione del team di WithSecure. Grazie all'aiuto di WithSecure, abbiamo confermato che individui altamente qualificati con competenze di sicurezza informatica potrebbero modificare il risultato di un test, e abbiamo rapidamente rilasciato un aggiornamento del software per risolvere questo problema e rilevare la falsificazione dei risultati del test COVID-19 nell'App Cue Health", afferma Vimal Subramanian, VP di Information Security and Privacy di Cue Health.
Gannon, che ha scoperto problemi simili in un test COVID-19 di un altro fornitore lo scorso dicembre*, ha detto che si aspetta che alcuni tipi di dispositivi riscontrino questo tipo di problemi di sicurezza.
I test COVID-19 negativi sono diventati requisiti per molte attività, compresi i viaggi internazionali negli Stati Uniti. Il potenziale di frode legato all'evasione delle restrizioni COVID-19 è stato evidenziato all'inizio di quest'anno, quando due infermiere di New York sono state accusate di 1,5 milioni di dollari di frode legati ai certificati vaccinali COVID-19**.
“Ultimamente ho esaminato questi test COVID per curiosità professionale. Tuttavia, il tipo di problemi che sto vedendo sono abbastanza comuni in molti tipi diversi di dispositivi che utilizzano i computer per eseguire compiti specifici, come i dispositivi dell'internet delle cose. Poiché sono così comuni, è importante che i produttori predispongano modi per trovare e risolvere le falle di sicurezza prima che causino problemi agli utenti. Sono soddisfatto della collaborazione con Cue Health per rafforzare l'integrità del loro test", aggiunge Gannon.
“Abbiamo davvero apprezzato che Ken abbia contattato il nostro team per quanto riguarda la sua ricerca. Segnalare questi tipi di problemi direttamente ai fornitori aiuta a rendere i prodotti che la gente usa più sicuri e affidabili, che è esattamente quello che abbiamo fatto qui”, conclude Subramanian.
Per maggiori informazioni sulla ricerca di Gannon visitare la pagina: https://www.withsecure.com/en/expertise/research-and-innovation/research/faking-another-positive-covid-test.
*Fonte: https://labs.f-secure.com/blog/faking-a-positive-covid-test
**Fonte: https://www.insider.com/long-island-nurses-arrested-millions-fake-covid-vaccine-card-scheme-2022-1
Informazioni su Cue Health
Cue Health (Nasdaq: HLTH) è una società di tecnologia sanitaria che semplifica l'accesso alle informazioni sanitarie per gli individui e pone le informazioni diagnostiche al centro della cura. Cue Health consente alle persone di gestire la propria salute attraverso informazioni sanitarie in tempo reale, utilizzabili e connesse, offrendo agli individui e ai loro fornitori di assistenza sanitaria un facile accesso a diagnosi di laboratorio di qualità ovunque, in qualsiasi momento, in un dispositivo che sta nel palmo della mano. Il test COVID-19 di Cue Health, primo nel suo genere, è stato il primo test diagnostico molecolare autorizzato dalla FDA per l'uso a casa e da banco senza prescrizione e supervisione medica. Al di fuori degli Stati Uniti, Cue Health ha ricevuto il marchio CE nell'Unione Europea, l'autorizzazione Interim Order da Health Canada, l'approvazione regolamentare dall'India's Central Drugs Standard Control Organization e l'autorizzazione PSAR dalla Health Sciences Authority di Singapore. Cue è stata fondata nel 2010 e ha sede a San Diego. Per ulteriori informazioni, visita il sito www.cuehealth.com.
Dichiarazioni previsionali
Le dichiarazioni in questo comunicato stampa sulle aspettative, i piani e le prospettive future, così come qualsiasi altra dichiarazione riguardante questioni che non sono fatti storici, possono costituire "dichiarazioni previsionali". Le parole, senza limitazione, "anticipano”, "credono”, "continuano”, "potrebbero”, "stimano”, "prevedono”, "intendono”, "possono”, "pianificano”, "potenziale”, "predicono”, "progettano”, "dovrebbero”, "obiettivo”, "volontà”, "sarebbero”, e simili espressioni sono intese per identificare le dichiarazioni previsionali, anche se non tutte contengono queste o simili parole di identificazione. I risultati effettivi possono differire materialmente da quelli indicati da tali dichiarazioni previsionali come risultato di vari fattori importanti, compresi quelli relativi al menu previsto per i test diagnostici futuri e i fattori discussi nella sezione "Fattori di rischio" del modulo 10-Q del 10 novembre 2021 depositato da Cue presso la SEC. Tutte le dichiarazioni previsionali contenute in questo comunicato stampa si basano sulle attuali aspettative del team di gestione di Cue e parlano solo alla data del presente documento, e Cue declina specificamente qualsiasi obbligo di aggiornare qualsiasi dichiarazione previsionale, sia a seguito di nuove informazioni, eventi futuri o altro.
Questi prodotti non sono stati autorizzati o approvati dalla FDA, ma sono stati autorizzati dalla FDA sotto un'autorizzazione d'uso di emergenza (EUA). Questi prodotti sono stati autorizzati solo per il rilevamento dell'acido nucleico della SARS-CoV-2, non per altri virus o agenti patogeni. L'uso di emergenza di questi prodotti è autorizzato solo per la durata della dichiarazione che esistono circostanze che giustificano l'autorizzazione dell'uso di emergenza di diagnostici in vitro per il rilevamento e/o la diagnosi di COVID-19 ai sensi della sezione 564(b)(1) del Federal Food, Drug and Cosmetic Act, 21 U.S.C. § 360bbb-3(b)(1), a meno che la dichiarazione sia terminata o l'autorizzazione sia revocata prima.
Cue Health
press@cuehealth.com
Informazioni su WithSecure™
WithSecure™, precedentemente F-Secure Business, è il partner di riferimento per la cyber security. Provider di servizi IT, MSSP e aziende, insieme alle più importanti istituzioni finanziarie, imprese manifatturiere e migliaia di fornitori dei più avanzati sistemi di comunicazione e tecnologie nel mondo si affidano a noi per conseguire una cyber security basata sui risultati, che protegge e consente le loro operazioni.
La nostra protezione guidata dall’IA mette al sicuro gli endpoint e la collaborazione su cloud, il nostro sistema di intelligent detection and response è alimentato da esperti che identificano i rischi aziendali tramite threat hunting proattivo e affrontando gli attacchi in tempo reale. I nostri consulenti collaborano con imprese e tech challenger per costruire la resilienza attraverso una consulenza sulla sicurezza basata su prove concrete. Con oltre 30 anni di esperienza nella creazione di tecnologie che soddisfano gli obiettivi aziendali, abbiamo disegnato il nostro portafoglio per crescere con i nostri partner attraverso modelli commerciali flessibili.
Fondata nel 1988, WithSecure™ Corporation è quotata sul listino NASDAQ OMX Helsinki Ltd.