La licencia de conducir digital Tough to Forge es… fácil de falsificar

A fines de 2019, el gobierno de Nueva Gales del Sur introdujo licencias de conducir digitales en Australia. Las nuevas licencias permitieron a las personas usar su dispositivo iPhone o Android para identificarse y demostrar su edad en los puntos de control policial en la acera o en bares, tiendas, hoteles y otros lugares. ServiceNSW, como se conoce comúnmente a la agencia gubernamental, prometió que «ofrecería un nivel adicional de seguridad y protección contra el fraude de identidad en comparación con el plástico». [driver’s license]’ que los ciudadanos habían usado durante décadas. Ahora, 30 meses después, los investigadores de seguridad han demostrado que falsificar identidades utilizando licencias de conducir digitales o DDL es trivial para casi cualquier persona. La tecnología permite a los menores cambiar su fecha de nacimiento y a los estafadores falsificar identidades. El proceso lleva menos de una hora, no requiere hardware especial ni software costoso, y genera identificaciones falsas que pasan la inspección con el sistema de verificación electrónica de la policía y los lugares participantes. Todo esto a pesar de las garantías de que la seguridad es una prioridad clave para el sistema DDL recién creado. «Para ser claros, creemos que si la licencia de conducir digital se mejorara mediante la implementación de un diseño más seguro, la declaración anterior en nombre de ServiceNSW sería cierta y estaríamos de acuerdo en que la licencia de conducir digital proporcionaría niveles adicionales de seguridad». del fraude en comparación con la licencia de conducir de plástico», escribió Noah Farmer, el investigador que identificó las deficiencias, en una publicación publicada la semana pasada.

Hackeó una ratonera mejor con un mínimo esfuerzo

«Cuando una víctima desprevenida escanea el código QR del estafador, todo se verifica y la víctima no sabe que el estafador combinó su propia foto de identificación con los detalles de la licencia de conducir robada de otra persona», continuó. Sin embargo, tal como han estado las cosas durante los últimos 30 meses, los DDL permiten que «usuarios maliciosos generen [a] licencia de conducir digital fraudulenta con un esfuerzo mínimo en dispositivos con y sin jailbreak, sin la necesidad de modificar o volver a empaquetar la aplicación móvil en sí”. Los DDL promocionales requieren una aplicación iOS o Android que muestre las credenciales de cada persona. La policía y los lugares pueden usar la misma aplicación para verificar que las credenciales sean auténticas. Las características para confirmar la autenticidad y la moneda de la tarjeta de identificación incluyen:

  • Logotipo animado del gobierno de NSW.
  • Visualización de la última fecha y hora actualizada.
  • Un código QR caduca y se vuelve a cargar.
  • Un holograma que se mueve cuando se inclina el teléfono.
  • Una marca de agua que coincida con la foto de la licencia.
  • Detalles de la dirección que no requieren desplazamiento.

Sorprendentemente fácil

La técnica para superar estas salvaguardas es sorprendentemente simple. La clave es la capacidad de hacer cumplir brutalmente el PIN que encripta los datos. Debido a que solo tiene cuatro dígitos, solo hay 10,000 combinaciones posibles. Con scripts disponibles públicamente y una computadora lista para usar, alguien puede aprender la combinación correcta en minutos, como lo demuestra este video que muestra el proceso en un iPhone. Prueba de concepto para la licencia de conducir digital de ServiceNSW: PIN de fuerza bruta. Una vez que un estafador obtiene acceso a los datos de la licencia DDL encriptada de otra persona, ya sea con permiso, robando una copia almacenada en una copia de seguridad de iPhone o mediante un compromiso remoto, la fuerza bruta les da la capacidad de robar cualquier información almacenada en el archivo leído y cambiado. A partir de ahí, se debe usar un software simple de fuerza bruta y funciones estándar de teléfonos inteligentes y computadoras para extraer el archivo que almacena las credenciales, descifrarlas, cambiar el texto, volver a cifrarlas y hacer una copia de seguridad en el dispositivo. Los pasos exactos en un iPhone son:

  • Use una copia de seguridad de iTunes para copiar el contenido del iPhone que almacena las credenciales que el estafador quiere cambiar
  • Extraiga el archivo cifrado de la copia de seguridad almacenada en la computadora
  • Use software de fuerza bruta para descifrar el archivo
  • Abra el archivo en un editor de texto y cambie la fecha de nacimiento, la dirección o cualquier otra información que desee falsificar.
  • Cifrar el archivo de nuevo
  • Copie el archivo recién cifrado en la carpeta de copia de seguridad y
  • Restaurar la copia de seguridad en iPhone

Con esto, la aplicación ServiceNSW muestra la identificación falsa y la presenta como real.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.