事實證明,“難以偽造”的數字駕照並不難偽造
2019年底,澳大利亞新南威爾士州(NSW)政府推出了數字駕照。新執照允許人們在路邊警察檢查時或在酒吧、商店、酒店和其他場所使用他們的iPhone或Android設備來展示身份和年齡證明。這個被政府稱為ServiceNSW的服務承諾–跟公民使用了幾十年的塑料駕駛執照相比,數字版將提供額外的安全和保護進而防止身份欺詐的發生。
現在,在經過30個月時間的檢閱之後,安全研究人員指出,幾乎任何人都可以利用數字駕照(DDL)偽造假身份。該技術允許未到飲酒年齡的人改變他們的出生日期並允許欺詐者偽造假身份。這個過程只需不到一個小時且無需任何特殊的硬件或昂貴的軟件,另外還能生成通過警察和參與場所使用的電子驗證系統檢查的假身份證。
發現這些缺陷的研究員Noah Farmer在上週發表的一篇文章中寫道:“明確地說,我們確實相信,如果數字駕照通過實施更安全的設計而得到改進那麼代表ServiceNSW所作的上述聲明確實是真實的,而且我們會同意,跟塑料駕照相比,數字駕照將提供額外的安全水平以防欺詐。”
他繼續寫道:“當毫無戒心的受害者掃描欺詐者的二維碼時,一切都會檢查出來,受害者不會知道欺詐者將他們自己的身份照片跟某人被盜的駕駛執照細節相結合。然而就過去30個月的情況來看,DDL使’惡意用戶有可能以最小的努力在已越獄和未越獄的設備上生成(一個)欺詐性的數字駕照,而無需修改或重新包裝移動應用本身。”
據悉,DDL需要一個iOS或Android應用以顯示每個人的憑證。同樣的應用允許警察和場所驗證憑證是否真實。應用中旨在確認ID是真實的和當前的功能包括:
模擬的NSW政府logo;
顯示最後刷新的日期和時間;
一個過期和重新加載的QR碼;
一個在手機傾斜時移動的全息圖;
一個跟執照照片相匹配的水印;
無需滾動的地址地址。
而克服這些保障措施的技術居然出奇得簡單,關鍵就是能暴力破解加密數據的PIN碼。由於它只有四位數,只有一萬種可能的組合。使用公開的腳本和一台商品電腦有人就可以在幾分鐘內學會正確的組合。
一旦欺詐者獲得了某人的加密DDL許可證數據–無論是通過許可還是通過竊取存儲在iPhone備份中的副本或通過遠程妥協–蠻力使他們有能力讀取和修改存儲在文件中的任何數據。
以下為在iPhone上的精確操作步驟:
使用iTunes備份,複製存儲有欺詐者想要修改的憑證的iPhone內容;
從存儲在電腦上的備份中提取加密文件;
使用暴力軟件來解密該文件;
在文本編輯器中打開文件,修改出生日期、地址或其他他們想要偽造的數據;
重新加密該文件;
將重新加密的文件複製到備份文件夾中;
將備份恢復到iPhone上。
這樣一來,ServiceNSW應用就會顯示假身份證並將其作為真品顯示。