El ataque de fuerza bruta deja la licencia completamente abierta para una alteración indetectable, pero los datos de back-end permanecen sin cambios.
Se ha demostrado que la implementación de una licencia de conducir digital australiana (DDL) que, según los funcionarios, es más segura que una licencia física, se desfigura fácilmente, pero las autoridades insisten en que la credencial permanece segura.
Nueva Gales del Sur, el estado más poblado de Australia, lanzó su programa DDL en 2019 y, a partir de 2021, los funcionarios dijeron que un poco más de la mitad de los ocho millones de habitantes del estado usan la aplicación "Service NSW" que muestra el DDL y ofrece acceso a muchos otros servicios gubernamentales.
Ahora, un investigador de seguridad de la compañía de seguridad cibernética Dvuln afirma que pudo entrar en la aplicación a la fuerza bruta con nada más que un script de Python y una computadora portátil de consumo. Una vez dentro, encontró numerosas fallas de seguridad que simplificaron la alteración del DDL almacenado en la aplicación.
"El DDL está alojado de forma segura en la nueva aplicación Service NSW, se bloquea con un PIN y se puede acceder sin conexión. Proporcionará niveles adicionales de seguridad y protección contra el fraude de identidad, en comparación con la licencia de conducir de plástico", dijo Victor, Ministro de Servicio al Cliente de NSW. Dominello dijo en 2019 cuando se lanzó el servicio.
Noah Farmer, el investigador de Dvuln que encontró la falla, cuestionó esa afirmación.
Inseguro por diseño
Se descubrieron cinco fallas de diseño separadas en la aplicación NSW DDL. La combinación de las fallas "presentó un escenario favorable que podría ser explotado por cualquier posible atacante o estafador", dijo Farmer.
En primer lugar, y lo más importante para los esfuerzos por descifrar la aplicación, solo usa un PIN de cuatro dígitos para desbloquear, y ese código también es la clave de descifrado de la licencia, que se almacena en un archivo JSON. Con un script de Python y una computadora portátil, Farmer pudo forzar la aplicación por fuerza bruta en minutos, lo que le dio acceso al DDL.
Además, la aplicación nunca valida los datos DDL almacenados con los registros del gobierno de Nueva Gales del Sur, no "actualiza" los datos de la licencia correctamente, transmite información mínima en su código QR (que también se puede modificar) e incluye datos de la licencia en las copias de seguridad del dispositivo, "lo que significa que los atacantes o Cualquiera que quiera cometer fraude puede modificar los detalles de su licencia sin necesidad de liberar su dispositivo", dijo Farmer.
Según Farmer, todas las funciones de seguridad incluidas en los DDL de NSW, como el logotipo animado del gobierno de NSW, la frecuencia de actualización, el código QR, el holograma en movimiento y la marca de agua, se conservan cuando se realizan cambios en los datos de la licencia, lo que, según él, "crea una falsa sensación de confianza."
Service NSW, la agencia gubernamental que ejecuta la aplicación del mismo nombre, le dijo a The Register que las fallas que encontró Noah no son una amenaza para los usuarios o la integridad de la DDL.
"Este problema es conocido y no representa un riesgo para la información del cliente", dijo un portavoz. "El bloguero [Noah] ha manipulado su propia información de licencia de conducir digital (DDL) en su dispositivo local".
"Es importante destacar que si la policía escaneó la licencia manipulada, la verificación en tiempo real utilizada por la policía de Nueva Gales del Sur mostraría la información personal correcta", agregó el portavoz. "Al escanear la licencia, sería claro para la policía que ha sido manipulada".
"La DDL ha sido evaluada de forma independiente por especialistas cibernéticos y es más segura que la tarjeta de plástico", agregó el portavoz, antes de señalar que alterar la DDL es ilegal y que Service NSW revisa constantemente la seguridad de sus ofertas.
Eso deja al ataque de desfiguración una ruta para crear una identificación falsa que podría engañar a un humano en el contexto de momentos como probar la edad para entrar al pub o alquilar un automóvil. Pero el fraude de identidad parece no ser posible.
DDL: próximamente en un estado cercano a usted, probablemente
Nueva Gales del Sur no es el único lugar donde se prueban los DDL, ni los únicos lugares donde se aceptan.
El gobierno del Reino Unido ha estado probando los DDL desde 2016 y el secretario de Estado de Transporte, Grant Shapps, dijo que podrían llegar antes de 2024 . Apple Wallet agregó soporte para DDL el año pasado y lanzó el servicio a Georgia y Arizona, con planes de expandirse a Connecticut, Iowa, Kentucky, Maryland, Oklahoma y Utah. Google anunció recientemente que Wallet también regresará con capacidades DDL, aunque no dijo dónde ni cuándo estará disponible. En total, más de 20 estados de EE. UU. han mostrado interés en los DDL, dijo el Washington Post .
Incluso NSW agregó transacciones digitales y licencias de credenciales, lo que abrió un campo completamente diferente de posibilidades de fraude.
El endurecimiento de los DDL es relativamente simple, dijo Farmer. El uso de SecRandomCopyBytes incorporado de iOS, que fortalece el cifrado al generar bytes aleatorios, es solo una forma simple de cambiar la aplicación para mejorar la seguridad, y la adición de un poco más de código evitaría que la aplicación permita que iOS realice copias de seguridad confidenciales. datos.
Fisher dijo que el equipo de Dvuln cree que las DDL podrían ser más seguras que las tarjetas físicas, pero que la implementación de NSW no hace lo que dice, por ahora. "Si [DDL] se mejorara mediante la implementación de un diseño más seguro... estaríamos de acuerdo en que [DDL] proporcionaría niveles adicionales de seguridad contra el fraude en comparación con la licencia de conducir de plástico", escribió Fisher.
Queda por ver si otros gobiernos tomarán más en serio la seguridad DDL, aunque los ejemplos de software diseñado por el estado no suelen inspirar confianza.
Fuente: https://www.theregister.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios