Представители Центра анализа и расследования кибератак заявили о том, что на портале электронного правительства Egov.kz неправильно реализована аутентификация через SMS.
Напомним — недавно Министерство информации и коммуникаций объявило о введении системы аутентификации пользователей через SMS на портале eGov, что вызвало массу критических высказываний от участников ИТ-рынка. Кроме очевидной небезопасности подобного решения специалисты ссылаются на международный опыт. В качестве одного из примеров приводится решение Google, предложившей своим пользователям отказаться от SMS-аутентификации. Причины этого уже не раз обсуждались: злоумышленники способны перенаправить SMS на свой телефон, помимо этого известно множество вредоносных программ для мобильных устройств, которые умеют воровать не только одноразовые коды, приходящие по SMS, но и отслеживать любой текст, который пользователь вводит на своем гаджете.
Как отмечается в отчете Positive Research 2017, составленном специалистами Positive Technologies, передача одноразовых кодов посредством SMS небезопасна, так как мобильная связь в целом небезопасна. Уязвимостям подвержена не только технологическая сеть SS7, но и алгоритмы шифрования радиоинтерфейса. Атаки на сеть SS7 можно осуществить из любой точки мира, а возможности злоумышленников не ограничиваются взломом мессенджеров.
«Мы неоднократно сообщали о том, что данный вид аутентификации не обеспечивает высокого уровня безопасности, хотя, безусловно, является более удобным для пользователей. К слову, Google признал аутентификацию через SMS устаревшей и начал процедуру перехода к новым, более современным методам защиты», — говорят в ЦАРКА.
Казахстанские «белые хакеры» рассказали, в чем именно состоит ошибка разработчиков портала eGov при реализации возможности аутентификации по SMS.
«Суть уязвимости состоит в том, что, во-первых, вся информация передается по HTTP (т.е. в открытом виде), а во-вторых, в ответе на запрос для получения SMS мы получаем код самой SMS. Помимо этого в запросе передаются локальные IP-адреса, что также вызывает недоумение. В результате, имея профиль на Egov.kz, злоумышленник может обходить авторизацию услуг через SMS. Более того, уязвимость позволяет изменить номер телефона в профиле пользователя, так как эта процедура также подтверждается через SMS. В итоге, для обхода авторизации через SMS не требуются знание номера телефона жертвы или физический доступ к нему, вследствие чего становится возможным получение госуслуг от имени другого пользователя. Еще один вектор атаки — перехват SMS на канале связи, который становится возможным благодаря открытости протокола HTTP и также не требует доступа к телефону жертвы», — рассказали в ЦАРКА.
Как пояснили специалисты, есть вероятность того, что на момент публикации информации об ошибке она уже исправлена. Разработчик системы, АО «НИТ», был извещен об обнаруженной уязвимости и получил рекомендации специалистов ЦАРКА.