Експерт з компанії Dvuln шляхом експериментів довів, що цифрові водійські права, які з 2019 року використовуються в австралійському штаті Новий Південний Уельс, легко скомпрометувати й підмінити дані.
Ноа Фармер зміг скомпрометувати додаток Service NSW, використовуючи лише Python-скрипт і звичайний ноутбук. Він виявив численні уразливості в системі безпеки, які дозволяють змінювати дані у водійському посвідченні.
Цифрові права: безпечні чи не дуже
За повідомленнями австралійської влади, з восьми мільйонів жителів штату Service NSW використовує понад половина. Крім відображення водійських прав, сервіс пропонує доступ до багатьох інших державних послуг.
Як повідомляє експерт, він знайшов у додатку п'ять окремих недоліків.
- Зокрема, для розблокування тут використовується чотиризначний PIN-код, який також є ключем дешифрування для водійського посвідчення, яке зберігається у файлі JSON. За допомогою Python-скрипта і ноутбука Фармер зумів за кілька хвилин брутфорсом підібрати PIN-код і отримати доступ до водійських прав та можливість змінювати дані в них.
- Виявилося, що програма не звіряє збережені дані водійського посвідчення з урядовими записами та не може належним чином оновити дані посвідчення.
- Крім того, додаток передає мінімальну інформацію в QR-коді (який також можна підмінити) і включає дані про права в резервні копії пристрою, а це означає, що зловмисники або будь-яка інша людина можуть підмінити дані своїх прав без необхідності робити джейлбрейк пристрою.
- Після внесення власних змін зберігаються всі засоби захисту, властиві австралійським цифровим правам, включаючи анімований логотип Нового Південного Уельсу, частоту оновлення, QR-код, рухому голограму і водяний знак.
Фармер при цьому описує деякі похмурі варіанти застосування таких підробок, в тому числі отримання рецептурних медичних препаратів на чуже ім'я, або крадіжку особистості з усіма витікаючими з неї наслідками, на зразок зіпсованої кредитної історії та нарахування боргів на чуже ім'я.
Що кажуть розробники
Представники Service NSW, урядового агентства, яке управляє однойменним додатком, заявляють, що виявлені діри в безпеці не становлять загрози для користувачів або цілісності водійських прав.
«Ця проблема відома і не становить ризику для даних клієнтів. Блогер Ной Фармер маніпулював лише інформацією про свої цифрові водійські права на своєму локальному пристрої», - говорить представник Service NSW.
Якщо підроблені права будуть відскановані поліцією, перевірка в режимі реального часу, використовувана поліцією Нового Південного Уельсу, відобразить правильні особисті дані. Тож після сканування водійського посвідчення правоохоронним органам буде ясно, що воно підроблене.
Розробники наполягають, що зміна даних у правах може обдурити лише людину. Наприклад, якщо потрібно пред'явити посвідчення особи та довести вік при вході в бар або для оренди автомобіля. Але використовувати такі права в якості повноцінного підробленого документа не вийде.