IT行业专家阿尔曼·阿布德拉西洛夫在移动应用程序Egov Mobile中发现了所谓的漏洞。
据该专家在其Telegram频道“阿布德拉西洛夫博客”中称,在Egov Mobile移动应用程序中,可以通过Face ID(面部识别)获取公共服务。然而,据他所说,通过Face ID提供服务时,该应用程序并不将服务接收者的面部与司法部的数据库进行比对,而是与本地人脸数据库——了解你的客户(KYC)进行核对。
“Egov Mobile信任第三方服务的KYC。<…> 在我的iPhone设置中,Face ID部分有一个‘替选外貌’菜单。如果将任何其他人的面部添加进去,此人不仅可以以我的名义获取公共服务,还能通过Egov Mobile的QR签名服务签署文件”——消息中这样写道。
为了确认此事,阿布德拉西洛夫将一份关于发现漏洞的报告提交到了TSARKA - Bug Bounty平台。
“现在它已成为官方漏洞编号№3052,可以追踪其修复时间与方式。此外,有趣的是,看看是否会对已签署的文件提出异议和拒绝,因为eGov方面没有签署合法性的证明”——专家写道。
同时,他还谈到了在ЦОН(公共服务中心)获取ЭЦП(电子数字签名)时存在的问题。据他称,在提供服务时,会使用生物识别技术来确认服务接收者的身份。
“这里的Face ID系统来自另一个供应商。与Egov Mobile不同的是,该解决方案与司法部数据库进行比对,但……不做活体检测(防欺诈技术)。也就是说,只需向摄像头展示一个人的照片或视频(例如来自社交网络),ЦОН的操作员就能访问任何个人账户”——消息中写道。
此外,专家还指出,移动公民数据库(БМГ)中的版主权限也属于ЦОН的操作员。顺便提一下,该数据库中记录了公民的手机号码,用于通过第二安全因素验证并获取个人账户的访问权限。
“为了将任何人登记到任何住宅中,操作员可以将该住宅业主和被登记者的手机号码在数据库中更改为自己的号码,然后通过短信或个人账户授权办理公共服务。在流程结束后,再恢复原来的电话号码”——阿布德拉西洛夫写道。