SIM digital NSW ‘mudah dipalsukan’ – Keamanan
Technology

SIM digital NSW ‘mudah dipalsukan’ – Keamanan

SIM digital NSW 'mudah dipalsukan'


Peneliti Dvuln Noah Farmer

Dvuln

Peneliti keamanan telah menganalisis lisensi pengemudi digital (DDL) NSW, dan menemukan bahwa “sepele” untuk melewati langkah-langkah keamanan yang diterapkan untuk melindungi kredensial identitas, dan memalsukan data yang disajikan oleh aplikasi.

Peneliti Dvuln, Noah Farmer, menggunakan DDL NSW versi iOS Apple, terinspirasi oleh pengujian sebelumnya oleh yang lain peneliti pada tahun 2019, yang menunjukkan kemungkinan untuk mengubah data pada kredensial untuk menampilkan informasi palsu.

Peneliti sebelumnya, Yaakov_H, melaporkan temuannya ke Service NSW, tetapi tidak jelas apakah agensi tersebut mengambil langkah untuk memulihkan bug yang ditemukan.

Farmer mengamati bahwa pengguna media sosial melaporkan bahwa sejumlah orang di bawah umur menggunakan DDL palsu yang mudah dibuat, untuk mengunjungi tempat minum di negara bagian.

Dalam analisisnya, Farmer menemukan beberapa masalah desain keamanan dengan aplikasi DDL NSW.

Sementara file data aplikasi dalam format Javascript Object Notation (JSON) dienkripsi dengan AES-256-CBC dan menggunakan teks Base64 ke pengkodean biner, ini mungkin bukan perlindungan yang memadai, catat Farmer.

“PIN aplikasi 4 digit (yang disetel selama orientasi awal saat pengguna pertama kali menginstal aplikasi) adalah kata sandi enkripsi yang digunakan untuk melindungi atau mengenkripsi data lisensi.

“Masalahnya di sini adalah penyerang yang memiliki akses ke data lisensi terenkripsi (apakah melalui mengakses cadangan telepon, akses langsung ke perangkat atau kompromi jarak jauh) dapat dengan mudah memaksa PIN 4 digit ini dengan menggunakan skrip yang akan mencoba semua 10.000 kombinasi,” tulis Farmer.

Setelah didekripsi, data DDL dapat diedit untuk mengubah detail ID.

Data DDL tidak pernah divalidasi terhadap antarmuka pemrograman aplikasi dan database Service NSW.

Penyerang dapat menampilkan data yang diedit pada aplikasi Service NSW, berkat kurangnya verifikasi dengan database backend yang otoritatif.

Selanjutnya, mekanisme penyegaran untuk DDL hanya memperbarui kode QR yang ditampilkan pada kredensial.

Detail lisensi dan foto penyerang yang diperbarui akan tetap ada di DDL, meskipun kode QR serta tanggal dan waktu telah diperbarui, Farmer menemukan.

Kelemahan lain termasuk API DDL yang hanya mentransmisikan nama dan apakah pemegangnya berusia di bawah 18 tahun atau tidak, yang dapat dipalsukan dengan memodifikasi data yang disandikan Base64 yang disimpan secara lokal di ponsel dengan detail lisensi yang dicuri.

Layanan NSW harus menerapkan verifikasi data yang lebih baik untuk DDL, dan menggunakan fitur sistem operasi terdokumentasi yang ada yang mencegah PIN mudah ditebak.

Aplikasi juga harus diberi kode untuk menghindari pencadangan data DDL sensitif dengan mengecualikan file dan direktori yang digunakannya, untuk menghindari akses ilegal dan modifikasi informasi.

Pembaruan, 19/5 18:30: Layanan NSW memberi tahu iTnews bahwa masalahnya diketahui dan tidak menimbulkan risiko bagi pelanggan.

“Blogger telah memanipulasi informasi Lisensi Pengemudi Digital (DDL) mereka sendiri di perangkat lokal mereka. Tidak ada data pelanggan atau sumber data lain yang dikompromikan,” kata juru bicara Service NSW.

“Ini juga tidak menimbulkan risiko apa pun terkait akses tidak sah atau perubahan pada sistem backend seperti DRIVES.

“Yang penting, jika lisensi yang dirusak dipindai oleh polisi, pemeriksaan waktu nyata yang digunakan oleh Polisi NSW (pemindaian mobipol) akan menunjukkan informasi pribadi yang benar saat memanggil DRIVE,” tambah juru bicara itu.

DRIVES adalah singkatan dari DRIver and VEhicle IT System dan digunakan di NSW untuk registrasi kendaraan bermotor dan lisensi pengemudi.

Lisensi yang dirusak akan jelas bagi penegak hukum yang memindai mereka, kata juru bicara yang menambahkan bahwa mengubah DDL adalah melanggar hukum.

“DDL telah dinilai secara independen oleh spesialis siber dan lebih aman daripada kartu plastik,” kata juru bicara itu.


Posted By : pengeluaran hk hari ini 2021