Facepalm: O governo de Nova Gales do Sul, na Austrália, introduziu as carteiras de motorista digitais no final de 2019, alegando que eram mais difíceis de falsificar do que a identificação física. Uma empresa de segurança recentemente delineou várias razões pelas quais esse não é o caso.
Na semana passada, a empresa de segurança Dvuln divulgou um relatório sobre as várias falhas de segurança que facilitam a falsificação da carteira de motorista digital (DDL) de Nova Gales do Sul. Isso pode ser uma grande ajuda para identificar ladrões e adolescentes.
Alguns meses antes da introdução de DDLs, um desenvolvedor realizou uma apresentação na PyCon Australia apontando falhas em seu design e as reportou ao governo. Três anos depois, Dvuln explicou métodos para forjá-los e apontou relatórios não verificados de menores usando identidades falsas.
O primeiro problema com os DDLs é que a única coisa que protege sua criptografia é um PIN de 4 dígitos que o Dvuln forçou em minutos. Em segundo lugar, não ocorre nenhum processo de verificação para os DDLs nos dispositivos dos usuários. Outro problema é que os backups de dispositivos móveis incluem dados de um DDL, que permite que hackers os editem sem fazer o jailbreak de um telefone. Passar pelo problema de fazer o jailbreak de um dispositivo torna as falsificações ainda mais fáceis. A forma como um DDL transmite a idade de um usuário também é vulnerável.
Combinadas, essas falhas tornam relativamente simples para um fraudador retirar uma licença de um dispositivo, editá-la, criptografá-la novamente e passá-la como legítima. Pode até ser mais fácil do que adquirir os materiais para forjar uma licença física, como o plástico, o papel alumínio e a impressora certos. Dvuln não sugere que o governo descarte os DDLs, mas sim melhore-os.
