Уязвимости приложения Egov Mobile выявил независимый эксперт

Эксперт в IT-отрасли Арман Абдрасилов нашел так называемые баги (уязвимости) в мобильном приложении Egov Mobile. 

Как сообщил эксперт в своем Telegram-канале «Блог Абдрасилова», в мобильном приложении Egov Mobile госуслуги можно получить с помощью Face ID (распознавание лица). Однако, по его словам, при оказании услуг через Face ID, приложение не сравнивает лицо получателя услуг с базой министерства юстиции, а сверяется с локальной базой лиц - Know Your Client (KYC).

«Egov Mobile доверяет KYC стороннему сервису. <…> В настройках моего iPhone в разделе Face ID имеется меню «Альтернативный внешний вид». Если добавить туда лицо любого другого человека, он сможет не только получать от моего имени госуслуги, но и подписывать документы через сервис QR подписания посредством Egov Mobile», - говорится в сообщении.

Для подтверждения Абдрасилов сдал отчет о выявлении уязвимости на платформу от TSARKA - Bug Bounty.

«Теперь это официальная бага №3052 и можно отслеживать, когда и как ее исправят. А еще интересно посмотреть, будут ли претензии и отказы по уже подписанным документам, так как доказательств легитимности подписания на стороне eGov нет», - пишет эксперт.

Вместе с тем он рассказал об имеющихся проблемах при получении ЭЦП в ЦОН. По его словам, при оказании услуг используется биометрия для подтверждения личности их получателя.

«Система Face ID тут уже от другого поставщика. Это решение, в отличии от Egov Mobile, сверяется с базой минюста, но … не делает проверку liveness (технология защиты от мошенничества). То есть достаточно показать в камеру фото или видео человека, например, из социальных сетей, и оператор ЦОН получает доступ к любому личному кабинету», - говорится в сообщении.

Помимо прочего, эксперт отметил, что право модератора в базе мобильных граждан (БМГ) также принадлежит оператору ЦОН. К слову, в этой базе указан мобильный номер граждан для прохождения второго фактора безопасности и получения доступа к личному кабинету.

«Чтобы прописать в любой квартире любого человека, операторы могут менять мобильные номера владельца квартиры и прописываемого в базе на свои, а далее через СМС или личный кабинет дать разрешение на госуслугу. После процедуры вернуть старые номера телефонов», - пишет Абдрасилов.