Дуже дивні справи: Полювання за багами Дія

Інформація:

Проект «Кібербезпека критично важливої інфраструктури в Україні»

Виконавець: ДАІ

Однією з умов конкурсу було визначено наступне:

Важливо, що для тестувальників буде створено окреме тестове середовище — копія застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

https://diia.gov.ua/news/mincifra-zapuskaye-bagbaunti-diyi-z-prizovim-fondom-v-1-miljon-griven-doluchitis-zmozhe-kozhen

Судячи по опису, копія додатку повинна бути ідентична щодо тієї, що вже існує, по в якої видалений функціонал (ключі доступу та адреси), доступ до зовнішніх систем.

Провівши аналіз, ГО «УНКД» знйшло ряд невідповідностей, які роблять даний конкурс нелегітимним та ставлять під сумнів вибір виконавця.

 Деталі:

Оригінальна версія застосунку:

Package: ua.gov.diia.app

Version: 3.0.6

Size: 45 MB

Версія надана для тестування:

Package: ua.gov.diia.app

Version: 3.0.7

Size: 114 MB

Вже тільки сам розмір наводить ряд сумнівів – якщо з програми видаляють якийсь функціонал, то його розмір не може стати більше.

Зверніть увагу на версію – оригінальна 3.0.6, примірник для а тестування 3.0.7. Звичайно, фахівці з безпеки можуть сказати, що це спеціальна тестова версія, яка була зібрана з особливостями налаштування, що полегшує пошук вразливостей. Але такої відповідності немає – оціночний режим там відключений і знайти додаток вкрай важко, але не це важливо. А важливо те, що насправді – це не копія діючого додатку, а зовсім інша версія:

Оригінальна версія не має вразливих компонентів, а тестова – аж чотири штуки!

Число компонентів включених в оригінальну версію – набагато менше, ніж в тестовій, що швидше за все означає, що в новій версії доданий розширений функціонал, якого немає в поточній версії.

Різниця в версіях підтверджує той факт, що нам замість перевірки поточної версії видали нову, яку тільки планують запускати.

Держатель Порталу «Дія» — Мінцифри визначає склад та функції електронного кабінету користувача, підсистем та програмних модулів Порталу Дія.

Підсумок – замість того, щоб виправити недоліки в поточній версії, нам пропонують протестувати майбутню версію, хоча навіть в поточній є підозра на вразливість перед спеціальною атакою —  коли інший додаток захоплює контроль над додатком «Дія» і імітує призначену для користувача активність після того, як користувач звернув додаток і виконувати різні дії в поточній сесії.

Звичайно, такий вид атаки дуже складний і подібні уразливості на чорному ринки коштують в середньому по $ 500 000, а з огляду на загальний економічний рівень населення – ваш віртуальний рахунок швидше за все не стане мішенню зловмисника. Тому що, на ньому дуже мало грошей. 

Разом з тим, Реєстр адміністративних послуг є єдиною базою даних про адміністративні послуги (складова порталу «Дія»), яка формується з метою ведення обліку адміністративних послуг та надання інформації про них. Для обробки відомостей про адміністративні послуги програмними засобами Порталу Дія назви послуг кодуються у визначеному Мінцифри порядку.

(п. 12 Постанови КМУ від 4 грудня 2019 р. № 1137 «Питання Єдиного державного вебпорталу електронних послуг та Реєстру адміністративних послуг»).

Суб’єкти розгляду звернень та органи, що утворили центри надання адміністративних послуг, зобов’язані застосовувати кодування під час документування процедур надання адміністративних послуг.

Тут вже й не знаєш – радіти чи засмучуватися.