Bir güvenlik araştırmacısı olan Ken Gannon, Ellume’un verileri analiz etmek ve sonuçları görüntüleyip kaydeden bir yardımcı uygulamaya iletmek için tasarlanmış burun sürüntü testindeki kusuru keşfetti. Gannon, evde yapılabilen bu koronavirüs testinin sonuçlarını, cihazdaki bluetooth trafiğinin uygulamaya ulaşmasından önce yakalayıp değiştirmeyi başardığını açıkladı.

F-Secure’un yazılarına göre, sonuçları tahrif etme süreci basit değil. Araştırmacı, test cihazının uygulamaya gönderdiği verilere erişmek ve bunları analiz etmek için rootlu bir android cihazı kullandığını belirtti. Bu noktada Ken Gannon, sonuçların nasıl gönderildiğini ve gerçekliğinin nasıl doğrulandığını belirledi. Ardından, olumsuz bir sonucu başarılı bir şekilde olumluya çevirebilen iki senaryo yazdı. Daha sonra test sonuçlarıyla ilgili Ellume’dan ilgili e-posta eline ulaştığında kendisi negatif olduğu halde kitin, yanlış bir şekilde pozitif sonuç verdiğini gösterdi.

Ellume, verilerin doğru olduğundan emin olmak ve daha fazla analiz yapmak için F-Secure’un tavsiyelerine uyduğunu ve uygulamada, verilerini analiz etmeyi veya veri iletimini devralmayı zorlaştıracak değişiklikler yaptığını ifade etti. Gannon, araştırmasının uygulamanın IOS sürümüne uygulanabilir olup olmadığını test etmediğini ve araştırmasının amacının ortalama bir kişinin sahte bir pozitif veya negatif covid testi verip veremeyeceğini anlamak olduğunu söyledi.

Gannon’un yazısı yalnızca olumsuz sonuçların olumlu sonuçlara dönüştürülmesini içeriyor olsa da, F-Secure’un basın açıklamasında sürecin her iki yönde de çalıştığı belirtildi. Ellume’un yamalarından önce Gannon, uygun motivasyona ve teknik becerilere sahip birinin bu kusurları kendisinin veya birlikte çalıştıkları birinin her test edildiğinde olumsuz sonuç almasını sağlamak için kullanmış olabileceğinin altı çizildi.

Teoride bir kişi bu sayede ABD’ye yeniden giriş gereksinimlerini karşılamak için sahte bir sertifika sunulabilirken, F-Secure yalnızca yanlış bir sonucu sertifikalandırmakla kalmadı, aynı zamanda bir video test süpervizörünün bunu algılayamadığı da tespit edildi.
Basın açıklaması, Ellume’un şu anda yetkililerin ev testlerinin gerçek olduğunu doğrulamasını sağlayacak bir ‘doğrulama portalı’ üzerinde çalıştığını ve önceki tüm sonuçlarını doğruluk açısından analiz etmek için geri döndüğünü vurguladı. Yapılan 2’ci testlerin sonucunda, hiç kimsenin sahtecilik yaptığına dair delil bulunmadığı açıklandı.