Cue Health的COVID-19檢測(cè)試劑盒是一種藍(lán)牙操作的分子測(cè)試，可以在20分鐘內(nèi)檢測(cè)出陽(yáng)性標(biāo)本。該系統(tǒng)使用鼻拭子測(cè)試冠狀病毒，鼻拭子被插入一個(gè)一次性盒中，由電池供電的Cue閱讀器進(jìn)行分析，然后通過(guò)藍(lán)牙將結(jié)果傳送到接受測(cè)試者手機(jī)上的Cue Health應(yīng)用程序。2021年3月，Cue的系統(tǒng)成為第一個(gè)獲得美國(guó)食品和藥物管理局緊急授權(quán)用于家庭和非處方藥的COVID-19分子測(cè)試套件。

雖然FDA當(dāng)時(shí)對(duì)Cue Health的COVID-19測(cè)試的創(chuàng)新方法表示贊賞，但F-Secure公司的企業(yè)安全業(yè)務(wù)WithSecure的安全顧問(wèn)Ken Gannon發(fā)現(xiàn)了測(cè)試套件的一個(gè)缺陷，可能會(huì)使測(cè)試結(jié)果被修改。這是第二次在連接的COVID-19測(cè)試中發(fā)現(xiàn)安全漏洞，該研究人員最近在Ellume的COVID-19家庭測(cè)試中暴露了類似的漏洞，使人們對(duì)在聯(lián)邦政府的緊急批準(zhǔn)權(quán)下匆忙上市的測(cè)試套件完整性產(chǎn)生了懷疑。

該漏洞（現(xiàn)已修復(fù)）是在Cue Reader與Cue Health應(yīng)用程序通過(guò)藍(lán)牙使用Protobuf協(xié)議進(jìn)行通信的過(guò)程中發(fā)現(xiàn)的，該協(xié)議以易于閱讀的數(shù)據(jù)塊呈現(xiàn)測(cè)試數(shù)據(jù)。閱讀器生成的數(shù)據(jù)塊以"10 02"結(jié)尾，表示COVID-19測(cè)試結(jié)果為陽(yáng)性，或以"10 03"結(jié)尾，表示陰性。Gannon開(kāi)發(fā)了一個(gè)腳本，使他能夠通過(guò)操縱這些數(shù)字?jǐn)r截和修改數(shù)據(jù)。通過(guò)改變結(jié)果中的一個(gè)數(shù)字，或"比特翻轉(zhuǎn)"，可以將陰性結(jié)果改為陽(yáng)性結(jié)果，并獲得一份驗(yàn)證結(jié)果有效的證書(shū)。

將陽(yáng)性結(jié)果改為陰性結(jié)果的過(guò)程基本相同，這可能會(huì)造成問(wèn)題。陰性的COVID-19測(cè)試已經(jīng)成為許多活動(dòng)的要求，包括進(jìn)入美國(guó)旅行。就目前而言，翻轉(zhuǎn)這些位子所需的技能水平有點(diǎn)高，一個(gè)人需要有像樣的知識(shí)進(jìn)入黑客移動(dòng)應(yīng)用程序，并在Cue的應(yīng)用程序中運(yùn)行自定義代碼。

然而Ken Gannon一直擔(dān)心Android應(yīng)用的黑客定制攻擊能力，以便普通消費(fèi)者可以做同樣的黑客攻擊。正因?yàn)槿绱耍琄en Gannon特意披露了只有逆向工程師才能理解和使用的技術(shù)細(xì)節(jié)和定制代碼。Gannon與Cue Health分享了他的研究，Cue Health表示，除了WithSecure報(bào)告的結(jié)果外，它沒(méi)有發(fā)現(xiàn)任何偽造的測(cè)試結(jié)果，但表示它已經(jīng)增加了旨在檢測(cè)操縱結(jié)果的服務(wù)器端檢查。當(dāng)被問(wèn)及公司是否有辦法在WithSecure的發(fā)現(xiàn)之前檢測(cè)出操縱結(jié)果時(shí)，Cue Health沒(méi)有回應(yīng)。