Техно Интернет Цифровые водительские права Австралии оказались уязвимы к атакам: найдено сразу 5 багов

Цифровые водительские права Австралии оказались уязвимы к атакам: найдено сразу 5 багов

Автор:

Александр Гайдамашко

15:02, 1 июня 2022

3 мин

Читати новину українською

Цифровые водительские права Австралии оказались уязвимы к атакам найдено сразу 5 багов - Техно

Иллюстративное фото / Freepik

Эксперт из компании Dvuln путем экспериментов доказал, что цифровые водительские права, используемые с 2019 года в австралийском штате Новый Южный Уэльс, легко скомпрометировать и подменить данные.

Источник:

Dvuln

Ноа Фармер смог скомпрометировать приложение Service NSW, используя только Python-скрипт и обычный ноутбук. Он обнаружил многочисленные уязвимости в системе безопасности, позволяющие изменять данные в водительском удостоверении.

Новый рекорд: в Минцифры представили очередной отчет о достижениях украинской ИТ-армии

Цифровые права: безопасны или не очень

По сообщениям австралийских властей, из восьми миллионов жителей штата Service NSW использует более половины. Помимо отображения водительских прав, сервис предлагает доступ ко многим другим государственным услугам.

Как сообщает эксперт, он нашел в приложении пять отдельных недостатков.

В частности, для разблокировки используется четырехзначный PIN-код, который также является ключом дешифрования для водительского удостоверения, хранящегося в файле JSON. С помощью Python-скрипта и ноутбука Фармер сумел за несколько минут брутфорсом подобрать PIN-код и получить доступ к водительским правам с возможностью менять данные в них.
Оказалось, что программа не сверяет сохраненные данные водительских прав с правительственными записями и не может должным образом "обновить" данные удостоверения.
Кроме того, приложение передает минимальную информацию в QR-коде (который также можно подменить) и включает данные о правах в резервные копии устройства, а это значит, что злоумышленники или любой другой человек могут подменить данные своих прав без необходимости производить джейлбрейк устройства.
После внесения собственных изменений сохраняются все средства защиты, свойственные австралийским цифровым правам, включая анимированный логотип Нового Южного Уэльса, частоту обновления, QR-код, подвижную голограмму и водяной знак.

Фармер при этом описывает некоторые мрачные варианты применения таких подделок, в том числе получение рецептурных медицинских препаратов на чужое имя или кражу личности со всеми вытекающими из нее последствиями, вроде испорченной кредитной истории и начисления долгов на чужое имя.

Что говорят разработчики

Представители Service NSW, правительственного агентства, управляющего одноименным приложением, заявляют, что обнаруженные "дыры" в безопасности не представляют угрозы для пользователей или целостности водительских прав.

Эта проблема известна и не представляет риска для данных клиентов. Блогер [Ной Фармер] манипулировал только информацией о своих цифровых водительских правах на своем локальном устройстве,
– говорит представитель Service NSW.

Разработчики настаивают, что изменение данных в правах может обмануть только человека. Например, если нужно предъявить удостоверение личности и доказать возраст при входе в бар или аренду автомобиля. Но использовать такие права в качестве полноценного поддельного документа не получится.