ワクチンパスポートの欠陥が明らかになったiOSセキュリティ研究者やハッカーがケベック州のモバイル認証システムには多くのセキュリティ上の問題があることを示したことを受けて、このアプリを公開しました。
ケベック州が発表したのは、VaxiCodeアプリ、COVID-19(新型コロナウイルス感染症ワクチン接種パスポートは、iPhone を介して個人のワクチン接種状況を証明する方法を提供することを目的としています。リリース直後から、システム全体のセキュリティがすでに疑問視されています。
「ルイ」と名乗るコンピュータープログラマーは、システムによって生成されたQRコードは「改ざん、変更、コピーできない」というケベック州のデジタル変革大臣エリック・ケア氏の主張を反証することに成功した。でCBC 報告、男は存在しない人のワクチン接種の偽の証明書を作成することに成功しました。
証拠を VaxiCode アプリに保存した後、その証明はユーザーを騙すことができました。VaxiCode Verifコンパニオン アプリ。企業が文書を確認することを目的としています。
「正直に言って、これほど簡単にシステムに侵入できたことに驚いています」とプログラマーは言いました。
セキュリティの問題は、偽の証拠の作成だけに限定されません。木曜日、ハッカー集団がフランソワ・ルゴー首相、ヴァレリー・プランテ市長、クリスチャン・デュベ・ケベック州保健大臣のQRコードを、州野党議員とケア大臣の証拠とともに入手できたと報告された。
QRコードには、名前、生年月日、ワクチン接種日、使用したワクチンの種類など、さまざまな情報が含まれています。ケア氏はこの問題を軽視し、システムは安全に使用できると主張した。
このシステムは導入を促進するために可能な限りシンプルにすることを目的としていましたが、ケア氏は、州はセキュリティを向上させるためにQRコードを取得するプロセスをより複雑にする可能性があると述べています。
ケア氏はまた、ワクチン接種パスポートが必要な会場に行くには国民も写真付き身分証明書の提示が必要になると述べた。 「物語の中心は自分の身元を証明することだ」とケア氏は語った。 「QRコードが改ざんされておらず、変更されておらず、安全なままであることを明確にしておきたいのです。」
ケベック州は9月1日から、バーやレストランに座る、フェスティバルやジムに行く、その他感染リスクの高い状況を含む多くの活動に対してワクチンパスポートの使用を義務付けている。
この問題を受けて、ケベック・ソリデアの広報担当ガブリエル・ナドー=デュボワ氏からケベック州のルゴー首相に書簡が送られ、状況は「許しがたい混乱」であるとしている。書簡は首相に対し、違反を修正するよう求めており、「そうでなければ、長期的な解決策が見つかるまでワクチンパスポートを一時停止することを検討する必要がある」としている。