Un ricercatore ha hackerato la patente di guida Australiana

Redazione RHC : 5 Giugno 2022 00:07

Un esperto di sicurezza, ha dimostrato che la patente di guida digitale, utilizzata nello stato australiano del New South Wales dal 2019, è facile da compromettere e da sostituire i dati.

Le autorità australiane hanno precedentemente riferito che nel 2021, più della metà degli 8 milioni di residenti utilizzano l’app Service NSW, che mostra una patente di guida digitale e offre anche l’accesso a molti altri servizi governativi aggiuntivi.

“La patente è archiviata in modo sicuro nella nuova app Service NSW, bloccata con un PIN e accessibile anche offline. Ciò fornisce livelli aggiuntivi di sicurezza e protezione dal furto di identità rispetto alle tradizionali patenti di guida in plastica.”

Supporta RHC acquistando il Corso CTI:

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Afferma la Service NSW.

Ma Lo specialista di Dvuln Noah Farmer, è stato in grado di compromettere questa applicazione utilizzando solo uno script Python e un normale laptop. Nell’applicazione, ha scoperto numerose vulnerabilità di sicurezza che hanno reso più semplice modificare i dati nella patente di guida.

L’esperto ha riscontrato cinque carenze separate nell’applicazione. 

In particolare, utilizza un PIN di quattro cifre per lo sblocco, che è anche la chiave di decrittazione per la patente, che è memorizzata nel file JSON. Con l’aiuto di uno script Python e di un laptop, Farmer è stato in grado di forzare un codice PIN in pochi minuti e ottenere l’accesso alla patente di guida.

Ha anche scoperto che l’app non stava verificando i dati della patente di guida memorizzati con i registri del governo e inoltre, l’applicazione trasmette informazioni minime in un codice QR (che può anche essere falsificato) e include i dati sui diritti nei backup del dispositivo

“il che significa che gli aggressori possono falsificare i propri dati senza dover eseguire il jailbreak del dispositivo”

afferma Farmer .

I rappresentanti del Service NSW, l’agenzia governativa che gestisce l’app con lo stesso nome, hanno dichiarato a The Register che i problemi riscontrati da Farmer non rappresentavano una minaccia per gli utenti o per l’integrità delle patenti di guida.

“Questo problema è noto e non rappresenta un rischio per questi clienti”

Ha affermato un portavoce di NSW. 

“Il blogger Noah Farmer ha manipolato le informazioni sulla sua patente di guida digitale sul suo dispositivo locale. La patente di guida digitale è stata valutata da esperti informatici indipendenti ed è più sicura della versione in plastica”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.