Detection and exploitation of vulnerabilities in the Covid-19 exposure notification system

Abstract

The contact tracing mobile Apps are one of the many initiatives to ght the COVID-19 virus. These Apps use the Exposure Noti cation (EN) system available on Google and Apple's operating systems. However, contact tracing applications depend on the availability of Bluetooth interfaces to exchange proximity identi ers that, if compromised, directly impact the e ectiveness of the apps. This thesis discloses the Advertising Overflow attack, a novel internal Denial of Service (DoS) attack targeting the EN system on Android Operating System (OS) devices. The attack is performed by a malicious App that occupies all the Bluetooth advertising slots in an Android device, effectively blocking any advertising attempt of EN. The impacts of Advertising Overflow and other known DoS attacks, Battery Exhaustion and Storage Drainage, were evaluated using two smartphones as targets and another six smartphones as attackers. The attacks scenarios were compared against a baseline scenario. The results show that the Battery Exhaustion attack imposes a battery discharge rate 1.95 times superior to the baseline. Regarding the Storage Drain, the storage usage increased more than 30 times the baseline results. The results of the novel attack reveal that a malicious App is able to block the usage of Bluetooth advertising by any other App by any chosen time period, canceling the operation of the EN system and compromising the efficiency of any contact tracing App based on EN. The macro analysis of the EN-related attacks and their categorizations also enabled the proposal of a novel taxonomy for EN-based attacks. This taxonomy identi es and categorizes the wide range of existing attacks according to their particularities and characteristics, with a granular multi-level approach, and it includes the most recent attacks. The proposed taxonomy allows a better understanding of EN's current attack vectors and procedures, and highlights areas or vulnerabilities that can be further explored, analyzed, and fixed.

As aplicações móveis de rastreio de contactos são uma das muitas iniciativas para combater o vírus COVID-19. Estas Apps utilizam o sistema Exposure Noti cation (EN) disponível nos sistemas operativos da Google e da Apple. No entanto, as aplicações de rastreio de contactos dependem das interfaces Bluetooth do dispositivo móvel para transmitir identi ficadores que, se comprometidas, impactam diretamente a e ficácia destas Apps. Esta tese apresenta o Advertising Overflow, um novo ataque de Denial of Service (DoS), que afeta o sistema EN em dispositivos Android. O ataque é executado por uma aplicação maliciosa que ocupa todos os slots de Bluetooth Advertising num dispositivo Android, bloqueando qualquer tentativa de transmissão do sistema EN. Os impactos do Advertising Overflow e de outros ataques DoS já conhecidos, o Battery Exhaustion e o Storage Drainage, foram avaliados utilizando dois smartphones como alvo e outros seis smartphones como atacantes. Os cenários de ataque foram comparados com um cenário base. Os resultados mostram que o ataque de Battery Exhaustion impõe uma taxa de descarga da bateria 1,95 vezes superior à descarga no cenário base. No ataque de Storage Drainage, a utilização de armazenamento aumentou mais de 30 vezes que o cenário base. Os resultados do novo ataque revelam que uma aplicação maliciosa é capaz de bloquear a utilização de Bluetooth Advertising por qualquer outra aplicação durante um período de tempo escolhido, bloqueando a operação do sistema EN e comprometendo a efi cácia de qualquer aplicação de rastreio de contactos baseada no sistema EN. A análise macro dos ataques relacionados com o EN e as suas categorizações permitiu a criação de uma nova taxonomia para ataques baseados no sistema EN. Esta taxonomia identifi ca e categoriza a vasta gama de ataques existentes de acordo com as seus particularidades e características, com uma abordagem granular, e inclui os ataques mais recentes. A taxonomia proposta permite uma melhor compreensão dos atuais vectores e procedimentos de ataque, e destaca áreas ou vulnerabilidades que podem ser mais exploradas, analisadas, e corrigidas.