Цифрові водійські права Австралії виявилися вразливими до атак: знайдено відразу 5 багів

Олександр Гайдамашко

Джерело:

Dvuln

Цифрові водійські права Австралії виявилися вразливими до атак знайдено відразу 5 багів - Техно

Ілюстративне фото / Freepik

Експерт з компанії Dvuln шляхом експериментів довів, що цифрові водійські права, які з 2019 року використовуються в австралійському штаті Новий Південний Уельс, легко скомпрометувати й підмінити дані.

Ноа Фармер зміг скомпрометувати додаток Service NSW, використовуючи лише Python-скрипт і звичайний ноутбук. Він виявив численні уразливості в системі безпеки, які дозволяють змінювати дані у водійському посвідченні.

Цікаво Новий рекорд: у Мінцифри представили черговий звіт про досягнення української ІТ-армії

Цифрові права: безпечні чи не дуже

За повідомленнями австралійської влади, з восьми мільйонів жителів штату Service NSW використовує понад половина. Крім відображення водійських прав, сервіс пропонує доступ до багатьох інших державних послуг.

Як повідомляє експерт, він знайшов у додатку п'ять окремих недоліків.

Зокрема, для розблокування тут використовується чотиризначний PIN-код, який також є ключем дешифрування для водійського посвідчення, яке зберігається у файлі JSON. За допомогою Python-скрипта і ноутбука Фармер зумів за кілька хвилин брутфорсом підібрати PIN-код і отримати доступ до водійських прав та можливість змінювати дані в них.
Виявилося, що програма не звіряє збережені дані водійського посвідчення з урядовими записами та не може належним чином "оновити" дані посвідчення.
Крім того, додаток передає мінімальну інформацію в QR-коді (який також можна підмінити) і включає дані про права в резервні копії пристрою, а це означає, що зловмисники або будь-яка інша людина можуть підмінити дані своїх прав без необхідності робити джейлбрейк пристрою.
Після внесення власних змін зберігаються всі засоби захисту, властиві австралійським цифровим правам, включаючи анімований логотип Нового Південного Уельсу, частоту оновлення, QR-код, рухому голограму і водяний знак.

Фармер при цьому описує деякі похмурі варіанти застосування таких підробок, в тому числі отримання рецептурних медичних препаратів на чуже ім'я, або крадіжку особистості з усіма витікаючими з неї наслідками, на зразок зіпсованої кредитної історії та нарахування боргів на чуже ім'я.

Що кажуть розробники

Представники Service NSW, урядового агентства, яке управляє однойменним додатком, заявляють, що виявлені "діри" в безпеці не становлять загрози для користувачів або цілісності водійських прав.

Ця проблема відома і не становить ризику для даних клієнтів. Блогер [Ной Фармер] маніпулював лише інформацією про свої цифрові водійські права на своєму локальному пристрої,
– говорить представник Service NSW.

Розробники наполягають, що зміна даних у правах може обдурити лише людину. Наприклад, якщо потрібно пред'явити посвідчення особи та довести вік при вході в бар або для оренди автомобіля. Але використовувати такі права в якості повноцінного підробленого документа не вийде.