Эксперт из компании Dvuln продемонстрировал, что цифровые водительские права, которые с 2019 года используются в австралийском штате Новый Южный Уэльс, легко скомпрометировать и подменить данные.
Ранее австралийские власти сообщали, что по состоянию на 2021, более половины из 8 млн жителей штата уже используют приложение Service NSW, которое отображает цифровые водительские права, а также предлагает доступ ко многим другим государственным услугами.
«Водительское удостоверение безопасно хранится в новом приложении Service NSW, блокируется с помощью PIN-кода и доступно даже в автономном режиме. Это обеспечивает дополнительные уровни безопасности и защиты от кражи личности по сравнению обычными пластиковыми водительскими правами», — заявляли представители властей.
Как теперь рассказывает специалист Dvuln Ноа Фармер (Noah Farmer), ему удалось скомпрометировать это приложение, используя лишь Python-скрипт и обычный ноутбук. В приложении он обнаружил многочисленные уязвимости в системе безопасности, которые упростили изменение данных в хранящемся там водительском удостоверении.
Суммарно эксперт нашел в приложении пять отдельных недостатков. В частности, для разблокировки здесь используется четырехзначный PIN-код, который также является ключом дешифрования для водительского удостоверения, которое хранится в файле JSON. С помощью Python-скрипта и ноутбука Фармер сумел за несколько минут брутфорсом подобрать PIN-код и получить доступ к водительским правам.
Также обнаружилось, что приложение не сверяет сохраненные данные водительского удостоверения с правительственными записями и не может должным образом «обновить» данные прав. Кроме того, приложение передает минимальную информацию в QR-коде (который также можно подменить) и включает данные о правах в резервные копии устройства, «а это значит, что злоумышленники или любой другой человек может подменить данные своих прав без необходимости делать джейлбрейк устройства», — говорит Фармер.
По словам исследователя, после внесения изменений сохраняются все средства защиты, присущие австралийским цифровым правам, включая анимированный логотип Нового Южного Уэльса, частоту обновления, QR-код, движущуюся голограмму и водяной знак. Фармер пишет, что все это лишь создает «ложное ощущение безопасности».
Представители Service NSW, правительственного агентства, которое управляет одноименным приложением, сообщили журналистам издания The Register, что проблемы, обнаруженные Фармером, не представляют угрозы для пользователей или целостности водительских прав.
«Эта проблема известна и не представляет риска для данных клиентов, — говорит представитель Service NSW. — Блогер [Ной Фармер] манипулировал лишь информацией о своих цифровых водительских правах на своем локальном устройстве.
Важно, что если поддельные права будут отсканированы полицией, проверка в режиме реального времени, используемая полицией Нового Южного Уэльса, отобразит правильные личные данные. Также после сканирования водительского удостоверения правоохранительным органам будет ясно, что оно подделано.
Цифровые водительские права оценены независимыми киберспециалистами и более безопасны, чем пластиковый вариант».
Разработчики настаивают, что атака с изменением данных в правах может обмануть лишь человека, к примеру, если нужно предъявить удостоверение личности и доказать возраст при входе в бар или для аренды автомобиля. Но использовать такие права в качестве полноценного поддельного документа не выйдет.
Фармер описывает более мрачные варианты применения таких подделок, в том числе получение рецептурных медицинских препаратов на чужое имя, или кражу личности со всеми вытекающими из нее последствиями, вроде испорченной кредитной истории и начисления долгов на чужое имя.
Также исследователь говорит, что усилить защиту цифровых водительских удостоверений совсем нетрудно: достаточно использовать, к примеру, встроенный в iOS SecRandomCopyBytes, усиливающий шифрование за счет генерации случайных байтов, а также запретить iOS выполнять резервное копирование конфиденциальных данных.