Цифровизация документов может поставить под угрозу ваши личные данные
Штат Новый Южный Уэльс в Австралии запустил свою программу австралийских цифровых водительских прав (Digital Driver’s Licence, DDL) в 2019 году. В 2021 году более половины населения штата использовали приложение Service NSW , которое отображает DDL и предлагает доступ ко многим государственным услугам.
Исследователь безопасности из компании Dvuln Ноа Фармер смог проникнуть в приложение с помощью скрипта Python. Эксперт обнаружил многочисленные уязвимости в системе безопасности, которые упростили изменение DDL.
В приложении NSW DDL было обнаружено 5 отдельных недостатков. Совокупность недоработок «представила благоприятный сценарий для злоумышленника», - сказал Фармер.
«Это означает, что злоумышленник может изменить данные своего DDL даже без джейлбрейка своего устройства», - сказал Фармер.
По словам Фармера, все функции безопасности приложения:
сохраняются при внесении изменений в DDL и «создают ложное ощущение безопасности».
По словам Фармера, одним из способов усиления защиты является использование встроенной в iOS функции SecRandomCopyBytes для шифрования за счет генерации случайных чисел. Также добавление кода не позволит приложению выполнять резервное копирование конфиденциальных данных.
По словам правительственного агентства Service NSW, которое управляет приложением, обнаруженные недостатки не представляют угрозы для пользователей или целостности DDL.
«Эта проблема известна и не представляет риска для информации клиентов. Ной сам изменил информацию о DDL на своем устройстве. Если поддельная лицензия будет отсканирована полицией, проверка покажет правильную личную информацию. После сканирования лицензии полиция поймет, что DDL был подделан», - сказал представитель приложения.
Одно найти легче, чем другое. Спойлер: это не темная материя