Falsificación de licencias de conducir australianas – Schneier on Stability


Falsificación de licencias de conducir australianas

La licencia de conducir digital de Nueva Gales del Sur tiene múltiples fallas de implementación que permiten falsificaciones fáciles.

Este archivo está cifrado mediante el cifrado AES-256-CBC combinado con la codificación Base64.

Un PIN de aplicación de 4 dígitos (que se establece durante la incorporación inicial cuando un usuario instala la aplicación por primera vez) es la contraseña de cifrado que se utiliza para proteger o cifrar los datos de la licencia.

El problema aquí es que un atacante que tiene acceso a los datos de la licencia cifrada (ya sea accediendo a una copia de seguridad del teléfono, acceso directo al dispositivo o compromiso remoto) podría forzar fácilmente este PIN de 4 dígitos usando un script que prueba las 10.000 combinaciones…

[…]

El segundo defecto de diseño que favorece a los atacantes es que los datos de la licencia de conducir electronic nunca se validan con la autoridad de back-conclusion, que es la base de datos/API de Service NSW.

Esto significa que la aplicación no tiene un método nativo para validar los datos de la licencia de conducir digital que existe en el teléfono y, por lo tanto, no puede realizar más acciones, como advertir a los usuarios cuando estos datos han sido modificados.

Dado que la licencia digital se almacena en el dispositivo del cliente, se debe realizar una validación para garantizar que la copia area de los datos realmente coincida con los datos de la licencia de conducir digital que se descargó originalmente de la API de Assistance NSW.

Como esta verificación no se lleva a cabo, un atacante puede mostrar los datos editados en la aplicación Support NSW sin ningún factor preventivo.

Hay mucho más en la entrada del blog site.

Publicado el 23 de mayo de 2022 a las 6:09 a. m. • comentarios

Foto de la barra lateral de Bruce Schneier por Joe MacInnis.



Enlace a la noticia original