Исследователь взломал цифровые водительские права в Австралии

Исследователь взломал цифровые водительские права в Австралии 1

«Водительское удостоверение безопасно хранится в новом приложении Service NSW, блокируется с помощью PIN-кода и доступно даже в автономном режиме. Это обеспечивает дополнительные уровни безопасности и защиты от кражи личности по сравнению обычными пластиковыми водительскими правами», — заявляли представители властей.

Как теперь рассказывает специалист Dvuln Ноа Фармер (Noah Farmer), ему удалось скомпрометировать это приложение, используя лишь Python-скрипт и обычный ноутбук. В приложении он обнаружил многочисленные уязвимости в системе безопасности, которые упростили изменение данных в хранящемся там водительском удостоверении.

Суммарно эксперт нашел в приложении пять отдельных недостатков. В частности, для разблокировки здесь используется четырехзначный PIN-код, который также является ключом дешифрования для водительского удостоверения, которое хранится в файле JSON. С помощью Python-скрипта и ноутбука Фармер сумел за несколько минут брутфорсом подобрать PIN-код и получить доступ к водительским правам.

Также обнаружилось, что приложение не сверяет сохраненные данные водительского удостоверения с правительственными записями и не может должным образом «обновить» данные прав. Кроме того, приложение передает минимальную информацию в QR-коде (который также можно подменить) и включает данные о правах в резервные копии устройства, «а это значит, что злоумышленники или любой другой человек может подменить данные своих прав без необходимости делать джейлбрейк устройства», — говорит Фармер.

По словам исследователя, после внесения изменений сохраняются все средства защиты, присущие австралийским цифровым правам, включая анимированный логотип Нового Южного Уэльса, частоту обновления, QR-код, движущуюся голограмму и водяной знак. Фармер пишет, что все это лишь создает «ложное ощущение безопасности».

Представители Service NSW, правительственного агентства, которое управляет одноименным приложением, сообщили журналистам издания The Register, что проблемы, обнаруженные Фармером, не представляют угрозы для пользователей или целостности водительских прав.

«Эта проблема известна и не представляет риска для данных клиентов, — говорит представитель Service NSW. — Блогер [Ной Фармер] манипулировал лишь информацией о своих цифровых водительских правах на своем локальном устройстве.

Важно, что если поддельные права будут отсканированы полицией, проверка в режиме реального времени, используемая полицией Нового Южного Уэльса, отобразит правильные личные данные. Также после сканирования водительского удостоверения правоохранительным органам будет ясно, что оно подделано.

Цифровые водительские права оценены независимыми киберспециалистами и более безопасны, чем пластиковый вариант».

Разработчики настаивают, что атака с изменением данных в правах может обмануть лишь человека, к примеру, если нужно предъявить удостоверение личности и доказать возраст при входе в бар или для аренды автомобиля. Но использовать такие права в качестве полноценного поддельного документа не выйдет.

Читайте также:  Два великих лидера – Путин и Хаменеи, имеют общий взгляд в отношении главных угроз

Фармер описывает более мрачные варианты применения таких подделок, в том числе получение рецептурных медицинских препаратов на чужое имя, или кражу личности со всеми вытекающими из нее последствиями, вроде испорченной кредитной истории и начисления долгов на чужое имя.

Также исследователь говорит, что усилить защиту цифровых водительских удостоверений совсем нетрудно: достаточно использовать, к примеру, встроенный в iOS SecRandomCopyBytes, усиливающий шифрование за счет генерации случайных байтов, а также запретить iOS выполнять резервное копирование конфиденциальных данных.

Источник

Автор публикации

не в сети 5 часов

Андрей Маргулис

536
С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
31 год
День рождения: 14 Мая 1991
Комментарии: 547Публикации: 2634Регистрация: 12-12-2015
Понравилась статья? Поделиться с друзьями:
РЭНБИ - Европа
Добавить комментарий
Авторизация
*
*
Регистрация
*
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Генерация пароля
/