Cue Health的COVID-19檢測試劑盒是一種藍牙操作的分子測試，可以在20分鐘內(nèi)檢測出陽性標本。該系統(tǒng)使用鼻拭子測試冠狀病毒，鼻拭子被插入一個一次性盒中，由電池供電的Cue閱讀器進行分析，然后通過藍牙將結(jié)果傳送到接受測試者手機上的Cue Health應用程序。2021年3月，Cue的系統(tǒng)成為第一個獲得美國食品和藥物管理局緊急授權用于家庭和非處方藥的COVID-19分子測試套件。

雖然FDA當時對Cue Health的COVID-19測試的創(chuàng)新方法表示贊賞，但F-Secure公司的企業(yè)安全業(yè)務WithSecure的安全顧問Ken Gannon發(fā)現(xiàn)了測試套件的一個缺陷，可能會使測試結(jié)果被修改。這是第二次在連接的COVID-19測試中發(fā)現(xiàn)安全漏洞，該研究人員最近在Ellume的COVID-19家庭測試中暴露了類似的漏洞，使人們對在聯(lián)邦政府的緊急批準權下匆忙上市的測試套件完整性產(chǎn)生了懷疑。

該漏洞（現(xiàn)已修復）是在Cue Reader與Cue Health應用程序通過藍牙使用Protobuf協(xié)議進行通信的過程中發(fā)現(xiàn)的，該協(xié)議以易于閱讀的數(shù)據(jù)塊呈現(xiàn)測試數(shù)據(jù)。閱讀器生成的數(shù)據(jù)塊以"10 02"結(jié)尾，表示COVID-19測試結(jié)果為陽性，或以"10 03"結(jié)尾，表示陰性。Gannon開發(fā)了一個腳本，使他能夠通過操縱這些數(shù)字攔截和修改數(shù)據(jù)。通過改變結(jié)果中的一個數(shù)字，或"比特翻轉(zhuǎn)"，可以將陰性結(jié)果改為陽性結(jié)果，并獲得一份驗證結(jié)果有效的證書。

將陽性結(jié)果改為陰性結(jié)果的過程基本相同，這可能會造成問題。陰性的COVID-19測試已經(jīng)成為許多活動的要求，包括進入美國旅行。就目前而言，翻轉(zhuǎn)這些位子所需的技能水平有點高，一個人需要有像樣的知識進入黑客移動應用程序，并在Cue的應用程序中運行自定義代碼。

然而Ken Gannon一直擔心Android應用的黑客定制攻擊能力，以便普通消費者可以做同樣的黑客攻擊。正因為如此，Ken Gannon特意披露了只有逆向工程師才能理解和使用的技術細節(jié)和定制代碼。Gannon與Cue Health分享了他的研究，Cue Health表示，除了WithSecure報告的結(jié)果外，它沒有發(fā)現(xiàn)任何偽造的測試結(jié)果，但表示它已經(jīng)增加了旨在檢測操縱結(jié)果的服務器端檢查。當被問及公司是否有辦法在WithSecure的發(fā)現(xiàn)之前檢測出操縱結(jié)果時，Cue Health沒有回應。