A fines de 2019, el gobierno de Nueva Gales del Sur en Australia implementó las licencias de conducir digitales. Las nuevas licencias permitieron a las personas usar su dispositivo iPhone o Android para demostrar su identidad y edad durante los controles policiales en las carreteras o en bares, tiendas, hoteles y otros lugares. ServiceNSW, como suele denominarse al organismo gubernamental, prometido “proporcionaría niveles adicionales de seguridad y protección contra el fraude de identidad, en comparación con el plástico [driver’s license]” que los ciudadanos habían usado durante décadas.
Ahora, 30 meses después, los investigadores de seguridad han demostrado que es trivial para casi cualquier persona falsificar identidades utilizando las licencias de conducir digitales o DDL. La técnica permite que las personas menores de edad para beber cambien su fecha de nacimiento y que los estafadores falsifiquen identidades. El proceso lleva menos de una hora, no requiere ningún hardware especial ni software costoso, y g enerará identificaciones falsas que pasarán la inspección utilizando el sistema de verificación electrónica utilizado por la policía y los lugares participantes. Todo esto, a pesar de las garantías de que la seguridad era una prioridad clave para el recién creado sistema DDL
“Para ser claros, creemos que si la licencia de conducir digital se mejorara mediante la implementación de un diseño más seguro, entonces la declaración anterior hecha en nombre de ServiceNSW sería cierta y estaríamos de acuerdo en que la licencia de conducir digital proporcionaría niveles adicionales. de seguridad contra el fraude en comparación con la licencia de conducir de plástico”, escribió Noah Farmer, el investigador que identificó las fallas, en un correo publicado la semana pasada.
Una ratonera mejor hackeada con el mínimo esfuerzo
“Cuando una víctima desprevenida escanea el código QR del estafador, todo se verificará y la víctima no sabrá que el estafador ha combinado su propia foto de identificación con los detalles de la licencia de conducir robada de alguien”, continuó. Sin embargo, tal como han estado las cosas durante los últimos 30 meses, los DDL hacen “posible que los usuarios maliciosos generen [a] Licencia de conducir digital fraudulenta con un esfuerzo mínimo en dispositivos con y sin jailbreak sin la necesidad de modificar o volver a empaquetar la aplicación móvil en sí”.
Los DDL requieren una aplicación iOS o Android que muestre las credenciales de cada persona. La misma aplicación permite que la policía y los lugares verifiquen que las credenciales sean auténticas. Características diseñadas para confirmar que la identificación es auténtica y actual incluyen:
- Logotipo animado del gobierno de NSW.
- Visualización de la última fecha y hora actualizada.
- Un código QR caduca y se recarga.
- Un holograma que se mueve cuando se inclina el teléfono.
- Una marca de agua que coincida con la foto de la licencia.
- Detalles de la dirección que no requieren desplazamiento.
Sorprendentemente simple
La técnica para superar estas salvaguardas es sorprendentemente simple. La clave es la capacidad de fuerza bruta del PIN que encripta los datos. Como solo tiene cuatro dígitos, solo hay 10,000 combinaciones posibles. Usando scripts disponibles públicamente y una computadora básica, alguien puede aprender la combinación correcta en cuestión de minutos, como este videomostrando el proceso en un iPhone, demuestra.
Prueba de concepto de la licencia de conducir digital de ServiceNSW: PIN de fuerza bruta.
Una vez que un estafador obtiene acceso a los datos de la licencia DDL encriptada de alguien, ya sea con permiso, robando una copia almacenada en una copia de seguridad del iPhone o mediante un compromiso remoto, la fuerza bruta le da la capacidad de leer y modificar cualquiera de los datos almacenados en el archivo. .
A partir de ahí, se trata de usar un software simple de fuerza bruta y funciones estándar de teléfonos inteligentes y computadoras para extraer el archivo que almacena la credencial, descifrarlo, cambiar el texto, volver a cifrarlo y volver a copiarlo en el dispositivo. Los pasos precisos en un iPhone son:
- Usar Copia de seguridad de iTunes para copiar el contenido del iPhone almacenando la credencial que el estafador quiere modificar
- Extraiga el archivo cifrado de la copia de seguridad almacenada en la computadora
- Use software de fuerza bruta para descifrar el archivo
- Abra el archivo en un editor de texto y modifique la fecha de nacimiento, la dirección u otros datos que quieran falsificar.
- Volver a cifrar el archivo
- Copie el archivo vuelto a cifrar en la carpeta de copia de seguridad y
- Restaurar la copia de seguridad en el iPhone
Con eso, la aplicación ServiceNSW mostrará la identificación falsa y la presentará como genuina.