As carteiras de motorista digitais australianas podem ser alteradas em minutos
O ataque de força bruta deixa a licença aberta para alterações indetectáveis, mas os dados de back-end permanecem inalterados
Uma implementação de carteira de motorista digital australiana (DDL) que as autoridades alegaram ser mais segura do que uma carteira física demonstrou ser facilmente desfigurada, mas as autoridades insistem que a credencial permanece segura.
New South Wales, o estado mais populoso da Austrália, lançou seu programa DDL em 2019 e, em 2021, as autoridades disseram que pouco mais da metade dos oito milhões de habitantes do estado usam o aplicativo “Service NSW” que exibe o DDL e oferece acesso a muitos outros serviços governamentais.
Agora, um pesquisador de segurança da empresa de segurança cibernética Dvuln afirma que conseguiu entrar no aplicativo com nada além de um script Python e um laptop de consumidor. Uma vez lá dentro, ele encontrou várias falhas de segurança que simplificavam a alteração do DDL armazenado no aplicativo.
“O DDL está hospedado com segurança no novo aplicativo Service NSW, é bloqueado com um PIN e pode ser acessado offline. Ele fornecerá níveis adicionais de segurança e proteção contra fraude de identidade, em comparação com a carteira de motorista de plástico”, disse o ministro de Atendimento ao Cliente de NSW, Victor Dominello disse em 2019, quando o serviço foi lançado.
Noah Farmer, o pesquisador de Dvuln que encontrou a falha, contestou essa afirmação.
Inseguro por design
Cinco falhas de design separadas foram descobertas no aplicativo NSW DDL. A combinação das falhas “apresentou um cenário favorável que poderia ser explorado por qualquer pretenso atacante ou fraudador”, disse Farmer.
Primeiro, e mais importante para os esforços de cracking do aplicativo, ele usa apenas um PIN de quatro dígitos para desbloquear, e esse código também é a chave de descriptografia da licença, que é armazenada em um arquivo JSON. Com um script Python e um laptop, Farmer conseguiu forçar o aplicativo em minutos, dando-lhe acesso ao DDL.
Além disso, o aplicativo nunca valida os dados DDL armazenados com os registros do governo de NSW, não “atualiza” os dados da licença corretamente, transmite informações mínimas em seu código QR (que também é alterável) e inclui dados de licença em backups de dispositivos “, o que significa que invasores ou qualquer um que queira cometer fraude pode modificar os detalhes de sua licença sem precisar fazer o jailbreak de seu dispositivo”, disse Farmer.
De acordo com Farmer, todos os recursos de segurança incluídos nos DDLs de NSW, como um logotipo animado do governo de NSW, taxa de atualização, código QR, holograma em movimento e marca d’água, são mantidos ao fazer alterações nos dados da licença, o que, segundo ele, “cria uma falsa sensação de Confiar em.”
A Service NSW, a agência governamental que administra o aplicativo de mesmo nome, disse ao The Register que as falhas encontradas por Noah não são uma ameaça aos usuários ou à integridade do DDL.
“Esse problema é conhecido e não representa um risco para as informações do cliente”, disse um porta-voz. “O blogueiro [Noah] manipulou suas próprias informações de carteira de motorista digital (DDL) em seu dispositivo local.”
“É importante ressaltar que, se a licença adulterada for escaneada pela polícia, a verificação em tempo real usada pela polícia de NSW mostrará as informações pessoais corretas”, acrescentou o porta-voz. “Ao escanear a licença, ficaria claro para a polícia que ela foi adulterada.”
“O DDL foi avaliado independentemente por especialistas cibernéticos e é mais seguro que o cartão de plástico”, acrescentou o porta-voz, antes de apontar que alterar o DDL é contra a lei e que o Service NSW revisa constantemente a segurança de suas ofertas.
Isso deixa o ataque de desfiguração como um caminho para a criação de uma identidade falsa que pode enganar um humano no contexto de momentos como provar a idade para entrar no pub ou alugar um carro. Mas a fraude de identidade parece não ser possível.
DDLs: Em breve em um estado perto de você, provavelmente
New South Wales não é o único lugar onde os DDLs estão sendo testados, nem os únicos lugares onde eles são aceitos.
O governo do Reino Unido vem testando DDLs desde 2016 , e o secretário de Estado de Transportes Grant Shapps disse que eles podem chegar antes de 2024 . A Apple Wallet adicionou suporte para DDLs no ano passado e lançou o serviço para Geórgia e Arizona, com planos de expansão para Connecticut, Iowa, Kentucky, Maryland, Oklahoma e Utah. O Google anunciou recentemente que a Wallet também está retornando com recursos DDL, embora não tenha dito onde ou quando estará disponível. Ao todo, mais de 20 estados dos EUA sinalizaram interesse em DDLs, disse o Washington Post .
Mesmo NSW adicionando comércios digitais e licenças de credenciais, abrindo todo um outro reino de possibilidades de fraude.
O endurecimento de DDLs é relativamente simples, disse Farmer. Usar o SecRandomCopyBytes integrado do iOS, que fortalece a criptografia gerando bytes aleatórios, é apenas uma maneira simples de alterar o aplicativo para aumentar a segurança, e a adição de apenas um pouco mais de código impediria o aplicativo de permitir que o iOS faça backups confidenciais dados.
Fisher disse que a equipe do Dvuln acredita que os DDLs podem ser mais seguros do que os cartões físicos, mas que a implementação do NSW falha em fazer o que afirma – por enquanto. “Se o [DDL] fosse aprimorado com a implementação de um design mais seguro… concordaríamos que [DDLs] forneceriam níveis adicionais de segurança contra fraude em comparação com a carteira de motorista de plástico”, escreveu Fisher.
Ainda não se sabe se outros governos levarão a segurança DDL mais a sério, embora exemplos de softwares desenvolvidos pelo Estado nem sempre transmitam confiança. ®
Fonte: theregister.com
