Штат Новый Южный Уэльс в Австралии запустил свою программу австралийских цифровых водительских прав (Digital Driver’s Licence, DDL) в 2019 году. В 2021 году более половины населения штата использовали приложение Service NSW , которое отображает DDL и предлагает доступ ко многим государственным услугам.
Исследователь безопасности из компании Dvuln Ноа Фармер смог проникнуть в приложение с помощью скрипта Python. Эксперт обнаружил многочисленные уязвимости в системе безопасности, которые упростили изменение DDL.
В приложении NSW DDL было обнаружено 5 отдельных недостатков. Совокупность недоработок «представила благоприятный сценарий для злоумышленника», — сказал Фармер.
PIN-код приложения также является ключом дешифрования лицензии, которая хранится в файле JSON. С помощью скрипта Python Фармер смог за несколько минут взломать приложение .
Приложение не сверяет данные удостоверения с правительственными записями штата;
NSW DDL не обновляет данные лицензии;
QR-код содержит минимум информации. По словам Фармера, QR-код также можно изменить;
Приложение сохраняет данные DDL в резервную копию устройства,
«Это означает, что злоумышленник может изменить данные своего DDL даже без джейлбрейка своего устройства», — сказал Фармер.
По словам Фармера, все функции безопасности приложения:
анимированный логотип правительства NSW;
частота обновления;
QR-код;
движущаяся голограмма;
водяной знак,
сохраняются при внесении изменений в DDL и «создают ложное ощущение безопасности».
По словам Фармера, одним из способов усиления защиты является использование встроенной в iOS функции SecRandomCopyBytes для шифрования за счет генерации случайных чисел. Также добавление кода не позволит приложению выполнять резервное копирование конфиденциальных данных.
По словам правительственного агентства Service NSW, которое управляет приложением, обнаруженные недостатки не представляют угрозы для пользователей или целостности DDL.
«Эта проблема известна и не представляет риска для информации клиентов. Ной сам изменил информацию о DDL на своем устройстве. Если поддельная лицензия будет отсканирована полицией, проверка покажет правильную личную информацию. После сканирования лицензии полиция поймет, что DDL был подделан», — сказал представитель приложения.
Источник: SecurityLab