Un ricercatore ha hackerato la patente di guida Australiana

Un esperto di sicurezza, ha dimostrato che la patente di guida digitale, utilizzata nello stato australiano del New South Wales dal 2019, è facile da compromettere e da sostituire i dati.

Le autorità australiane hanno precedentemente riferito che nel 2021, più della metà degli 8 milioni di residenti utilizzano l’app Service NSW, che mostra una patente di guida digitale e offre anche l’accesso a molti altri servizi governativi aggiuntivi.

“La patente è archiviata in modo sicuro nella nuova app Service NSW, bloccata con un PIN e accessibile anche offline. Ciò fornisce livelli aggiuntivi di sicurezza e protezione dal furto di identità rispetto alle tradizionali patenti di guida in plastica.”

Afferma la Service NSW.

Ma Lo specialista di Dvuln Noah Farmer, è stato in grado di compromettere questa applicazione utilizzando solo uno script Python e un normale laptop. Nell’applicazione, ha scoperto numerose vulnerabilità di sicurezza che hanno reso più semplice modificare i dati nella patente di guida.

L’esperto ha riscontrato cinque carenze separate nell’applicazione. 

In particolare, utilizza un PIN di quattro cifre per lo sblocco, che è anche la chiave di decrittazione per la patente, che è memorizzata nel file JSON. Con l’aiuto di uno script Python e di un laptop, Farmer è stato in grado di forzare un codice PIN in pochi minuti e ottenere l’accesso alla patente di guida.

Ha anche scoperto che l’app non stava verificando i dati della patente di guida memorizzati con i registri del governo e inoltre, l’applicazione trasmette informazioni minime in un codice QR (che può anche essere falsificato) e include i dati sui diritti nei backup del dispositivo

“il che significa che gli aggressori possono falsificare i propri dati senza dover eseguire il jailbreak del dispositivo”

afferma Farmer .

I rappresentanti del Service NSW, l’agenzia governativa che gestisce l’app con lo stesso nome, hanno dichiarato a The Register che i problemi riscontrati da Farmer non rappresentavano una minaccia per gli utenti o per l’integrità delle patenti di guida.

“Questo problema è noto e non rappresenta un rischio per questi clienti”

Ha affermato un portavoce di NSW. 

“Il blogger Noah Farmer ha manipolato le informazioni sulla sua patente di guida digitale sul suo dispositivo locale. La patente di guida digitale è stata valutata da esperti informatici indipendenti ed è più sicura della versione in plastica”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.