«Водительское удостоверение безопасно хранится в новом приложении Service NSW, блокируется с помощью PIN-кода и доступно даже в автономном режиме. Это обеспечивает дополнительные уровни безопасности и защиты от кражи личности по сравнению обычными пластиковыми водительскими правами», — заявляли представители властей.
Как теперь специалист Dvuln Ноа Фармер (Noah Farmer), ему удалось скомпрометировать это приложение, используя лишь Python-скрипт и обычный ноутбук. В приложении он обнаружил многочисленные уязвимости в системе безопасности, которые упростили изменение данных в хранящемся там водительском удостоверении.
Суммарно эксперт нашел в приложении пять отдельных недостатков. В частности, для разблокировки здесь используется четырехзначный PIN-код, который также является ключом дешифрования для водительского удостоверения, которое хранится в файле JSON. С помощью Python-скрипта и ноутбука Фармер сумел за несколько минут брутфорсом подобрать PIN-код и получить доступ к водительским правам.
Также обнаружилось, что приложение не сверяет сохраненные данные водительского удостоверения с правительственными записями и не может должным образом «обновить» данные прав. Кроме того, приложение передает минимальную информацию в QR-коде (который также можно подменить) и включает данные о правах в резервные копии устройства, «а это значит, что злоумышленники или любой другой человек может подменить данные своих прав без необходимости делать джейлбрейк устройства», — говорит Фармер.
По словам исследователя, после внесения изменений сохраняются все средства защиты, присущие австралийским цифровым правам, включая анимированный логотип Нового Южного Уэльса, частоту обновления, QR-код, движущуюся голограмму и водяной знак. Фармер пишет, что все это лишь создает «ложное ощущение безопасности».
Представители Service NSW, правительственного агентства, которое управляет одноименным приложением, сообщили журналистам издания , что проблемы, обнаруженные Фармером, не представляют угрозы для пользователей или целостности водительских прав.
«Эта проблема известна и не представляет риска для данных клиентов, — говорит представитель Service NSW. — Блогер [Ной Фармер] манипулировал лишь информацией о своих цифровых водительских правах на своем локальном устройстве.
Важно, что если поддельные права будут отсканированы полицией, проверка в режиме реального времени, используемая полицией Нового Южного Уэльса, отобразит правильные личные данные. Также после сканирования водительского удостоверения правоохранительным органам будет ясно, что оно подделано.
Цифровые водительские права оценены независимыми киберспециалистами и более безопасны, чем пластиковый вариант».
Разработчики настаивают, что атака с изменением данных в правах может обмануть лишь человека, к примеру, если нужно предъявить удостоверение личности и доказать возраст при входе в бар или для аренды автомобиля. Но использовать такие права в качестве полноценного поддельного документа не выйдет.
Фармер описывает более мрачные варианты применения таких подделок, в том числе получение рецептурных медицинских препаратов на чужое имя, или кражу личности со всеми вытекающими из нее последствиями, вроде испорченной кредитной истории и начисления долгов на чужое имя.
Также исследователь говорит, что усилить защиту цифровых водительских удостоверений совсем нетрудно: достаточно использовать, к примеру, встроенный в iOS SecRandomCopyBytes, усиливающий шифрование за счет генерации случайных байтов, а также запретить iOS выполнять резервное копирование конфиденциальных данных.
Автор публикации
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
