IT 行業專家 阿爾曼·阿布德拉西洛夫 在 Egov Mobile 行動應用程式中發現了所謂的漏洞。
正如該專家在其 Telegram 頻道 「阿布德拉西洛夫部落格」 中所報導,在 Egov Mobile 行動應用程式中,可以透過 Face ID(臉部辨識)來獲取政府服務。然而,據他所說,在透過 Face ID 提供服務時,該應用程式並未將服務接收者的臉部與司法部的資料庫進行比對,而是與本地的臉部資料庫——了解您的客戶 (KYC) 進行核對。
「Egov Mobile 信任第三方服務的 KYC。……在我的 iPhone 設定中,Face ID 部分有一個『替代外貌』選單。如果將任何其他人的臉部添加到那裡,他們不僅可以以我的名義獲取政府服務,還可以透過 Egov Mobile 的 QR 簽署服務來簽署文件」,訊息中寫道。
為了確認此事,阿布德拉西洛夫將漏洞報告提交到了 TSARKA - Bug Bounty 平台。
「現在這是官方漏洞編號第3052號,可以追蹤它何時以及如何被修復。此外,我也很好奇是否會對已簽署的文件提出異議或拒絕,因為 eGov 方面沒有簽署合法性的證據」,該專家寫道。
與此同時,他談到了在 服務中心 (ЦОН) 獲取 電子數位簽章 (ЭЦП) 時存在的問題。據他所說,在提供服務時,會使用生物辨識技術來確認服務接收者的身份。
「這裡的 Face ID 系統來自另一家供應商。與 Egov Mobile 不同,這個解決方案會與司法部的資料庫進行核對,但是……它沒有進行活體檢測(一種防止詐騙的技術)。也就是說,只要向攝影機展示某人的照片或影片,例如來自社交媒體的內容,服務中心的操作員就能夠存取任何個人帳戶」,訊息中寫道。
除此之外,該專家指出,行動公民資料庫 (БМГ) 中的版主權限也屬於服務中心的操作員。順帶一提,這個資料庫中記錄了公民的手機號碼,用於通過第二層安全驗證以及存取個人帳戶。
「為了在任何公寓中登記任何人,操作員可以將公寓業主和被登記人在資料庫中的手機號碼更改為他們自己的號碼,然後透過簡訊或個人帳戶批准該政府服務。在程序完成後,再將舊的手機號碼恢復」,阿布德拉西洛夫寫道。