Ноа Фармер зміг скомпрометувати додаток Service NSW, використовуючи лише Python-скрипт і звичайний ноутбук. Він виявив численні уразливості в системі безпеки, які дозволяють змінювати дані у водійському посвідченні.

Цікаво Новий рекорд: у Мінцифри представили черговий звіт про досягнення української ІТ-армії

Цифрові права: безпечні чи не дуже

За повідомленнями австралійської влади, з восьми мільйонів жителів штату Service NSW використовує понад половина. Крім відображення водійських прав, сервіс пропонує доступ до багатьох інших державних послуг.

Як повідомляє експерт, він знайшов у додатку п'ять окремих недоліків.

  • Зокрема, для розблокування тут використовується чотиризначний PIN-код, який також є ключем дешифрування для водійського посвідчення, яке зберігається у файлі JSON. За допомогою Python-скрипта і ноутбука Фармер зумів за кілька хвилин брутфорсом підібрати PIN-код і отримати доступ до водійських прав та можливість змінювати дані в них.
  • Виявилося, що програма не звіряє збережені дані водійського посвідчення з урядовими записами та не може належним чином "оновити" дані посвідчення.
  • Крім того, додаток передає мінімальну інформацію в QR-коді (який також можна підмінити) і включає дані про права в резервні копії пристрою, а це означає, що зловмисники або будь-яка інша людина можуть підмінити дані своїх прав без необхідності робити джейлбрейк пристрою.
  • Після внесення власних змін зберігаються всі засоби захисту, властиві австралійським цифровим правам, включаючи анімований логотип Нового Південного Уельсу, частоту оновлення, QR-код, рухому голограму і водяний знак.

Фармер при цьому описує деякі похмурі варіанти застосування таких підробок, в тому числі отримання рецептурних медичних препаратів на чуже ім'я, або крадіжку особистості з усіма витікаючими з неї наслідками, на зразок зіпсованої кредитної історії та нарахування боргів на чуже ім'я.

Що кажуть розробники

Представники Service NSW, урядового агентства, яке управляє однойменним додатком, заявляють, що виявлені "діри" в безпеці не становлять загрози для користувачів або цілісності водійських прав.

Ця проблема відома і не становить ризику для даних клієнтів. Блогер [Ной Фармер] маніпулював лише інформацією про свої цифрові водійські права на своєму локальному пристрої,
– говорить представник Service NSW.

Розробники наполягають, що зміна даних у правах може обдурити лише людину. Наприклад, якщо потрібно пред'явити посвідчення особи та довести вік при вході в бар або для оренди автомобіля. Але використовувати такі права в якості повноцінного підробленого документа не вийде.