[ad_1]

گزارش اخیر آزمایش توانایی های امنیتی چندین برنامه بهداشتی موبایل ، آسیب پذیری ها و آسیب پذیری های “سیستمی” را برجسته کرده است که می تواند منجر به افشای اطلاعات حساس در مورد سلامت و هویت کاربران شود.

این تحقیق که توسط شرکت بازاریابی امنیت سایبری نایت اینک و با حمایت مالی شرکت امنیت برنامه تلفن همراه Approov انجام شد ، با استفاده از یک چارچوب امنیتی منبع باز ، 30 برنامه مراقبت های بهداشتی تلفن همراه را بازسازی کرد ، کد استاتیک آنها را تجزیه و تحلیل کرد و سپس نفوذ API های آنها را آزمایش کرد.

این گزارش اسامی برنامه ها یا توسعه دهندگان آزمایش شده را فاش نمی کند (برخی از آنها موافقت می کنند به شرط ناشناس بودن دسترسی به تحقیقات را فراهم کنند) ، اما خاطرنشان می کند که آنها از شرکت های بین المللی فناوری اطلاعات مراقبت های بهداشتی هستند که درآمد آنها از 600 میلیون تا 8 دلار است. میلیارد نفر و متوسط ​​تعداد کارمندان حدود 15000 نفر است.

HIMSS20 دیجیتال

در صورت تقاضا ، کسب اعتبار ، یافتن محصولات و راه حل ها را بیاموزید. شروع کنید >>

براساس این گزارش ، آسیب پذیری های مربوط به API در 30 برنامه کاربردی فراوان است. هفتاد و هفت درصد حاوی کلیدهای API کدگذاری شده و 7 درصد حاوی نام های کاربری و رمزهای عبور سخت پوشیده است. علاوه بر این ، 7٪ از این کلیدهای API از پردازنده های پرداخت شخص ثالث است ، که به طور خاص به مشتریان هشدار می دهند از کد سخت در متن ساده استفاده نکنند. هیچ یک از برنامه ها اصلاح گواهی را اجرا نکرده اند ، که به محقق اجازه می دهد آزادانه از محیط پیرامون ارتباطات برنامه ها حمله کند.

یک نگرانی دیگر این بود که هر نقطه پایانی API مورد آزمایش قرار گرفته در برابر حمله مجوز شکسته در سطح جسم (BOLA) که اجازه دسترسی به اطلاعات شخصی را می دهد ، آسیب پذیر باشد. [PII] و اطلاعات بهداشتی محافظت شده [PHI] بر اساس این گزارش ، این امر باید توسط حساب مهاجم مسدود شود. نیمی از API های آزمایش شده دسترسی غیرمجاز به سوابق پذیرش را مجاز می دانند و تعداد معادل آن دسترسی به نتایج بالینی مانند آسیب شناسی یا اشعه ایکس را امکان پذیر می کند.

چرا مهم است

بر اساس این گزارش ، 30 برنامه تحت بررسی به طور متوسط ​​772،619 بار بارگیری شده اند. همه به پزشکان اجازه می دهند نمودارها و نمودارهای بیمار را مشاهده کنند ، در حالی که یک زیر مجموعه گزینه های دیگری مانند امکان دسترسی یا تغییر مشخصات جمعیتی بیمار ، عکس ها ، سابقه بالینی و سایر عناصر را فراهم می کند.

با توجه به گزارش. این امر به مرور زمان بیشتر مرتبط می شود زیرا هر چه بیشتر اطلاعات درآمد ایجاد می شود و حملات سایبری به سازمانهای بهداشتی بیشتر می شود.

آلیس نایت ، شریک جوهر نایت و نویسنده گزارش ، گفت: “ببین ، بیایید فیل صورتی را در اتاق نشان دهیم.” “هنگامی که مردم آن را می نویسند ، کد آسیب پذیری همیشه وجود خواهد داشت. مردم خطا پذیر هستند. اما من انتظار نداشتم که هر برنامه ای را که آزمایش کردم کلیدها و برچسب های سخت رمزگذاری شده داشته باشد ، و همه API ها در معرض آسیب پذیری باشند [BOLA] این آسیب پذیری ها به من امکان دسترسی به گزارش های بیمار ، اشعه ایکس ، گزارش های آسیب شناسی و سوابق کامل PHI را در پایگاه داده آنها می دهد. مسئله بدیهی است که سیستمی است. “

گرایش بزرگتر

امنیت سایبری نگرانی فزاینده سازمانهای بهداشتی در طول سالها بوده است و سال 2020 نیز از این قاعده مستثنی نبود. علاوه بر تهدید به حملات باج افزار ، افزایش دیجیتال سازی تحریک شده توسط COVID-19 باعث افزایش کنترل دسترسی به EHR و خدمات مراقبت مجازی شده است.

طی سالهای گذشته ، مراقبت های بهداشتی موبایل به سختی از این نوع مشکلات مصون بوده است. در حالی که برنامه های کاربر محور غالباً در اخبار افشای اطلاعات کاربر یا به اشتراک گذاشتن اطلاعات نامشخص برای اشخاص ثالث ظاهر می شوند ، حمله ناگهانی به برنامه های COVID-19 با توجه نسبتاً کمی به شفافیت استفاده از داده ها صورت گرفت.

[ad_2]

منبع: gharb-khabar.ir