Chính phủ Ấn Độ cho biết họ có giải quyết một lỗ hổng nghiêm trọng trong dịch vụ ví tài liệu bảo mật Digilocker có khả năng cho phép kẻ tấn công từ xa bỏ qua mật khẩu một lần di động (OTP) và đăng nhập khi người dùng khác truy cập vào tài liệu nhạy cảm của họ được lưu trữ trên nền tảng.
“Hàm OTP thiếu ủy quyền cho phép thực hiện xác thực OTP bằng cách gửi bất kỳ chi tiết người dùng hợp lệ nào và sau đó thao tác luồng để đăng nhập với tư cách người dùng hoàn toàn khác”, nhà nghiên cứu bảo mật Mohesh Mohan cho biết trong một tiết lộ được chia sẻ với The Hacker News.
Với hơn 38 triệu người dùng đã đăng ký, Máy đào là một kho lưu trữ dựa trên đám mây hoạt động như một nền tảng kỹ thuật số để tạo điều kiện xử lý tài liệu trực tuyến và cung cấp nhanh hơn các dịch vụ khác nhau của chính phủ cho công dân. Nó được liên kết với số điện thoại di động của người dùng và ID Aadhar một số nhận dạng duy nhất (UID) được cấp cho mọi cư dân của Ấn Độ.
Theo Mohan, để truy cập trái phép vào tài khoản Digilocker được nhắm mục tiêu, tất cả kẻ tấn công cần biết là ID Aadhaar của nạn nhân hoặc số điện thoại di động được liên kết hoặc tên người dùng, khiến dịch vụ gửi OTP và sau đó khai thác lỗ hổng để bỏ qua quá trình đăng nhập.
Điều đáng chú ý là phiên bản ứng dụng di động của Digilocker cũng đi kèm với mã PIN gồm 4 chữ số để tăng thêm lớp bảo mật. Nhưng nhà nghiên cứu cho biết có thể sửa đổi các lệnh gọi API để xác thực mã PIN bằng cách liên kết mã PIN với người dùng khác (được xác định bằng một phiên bản-5 UUID) và đăng nhập thành công với tư cách là nạn nhân.
Điều này có nghĩa là “bạn có thể thực hiện SMS OTP [verification] với tư cách là một người dùng và gửi mã pin của người dùng thứ hai, và cuối cùng, bạn sẽ đăng nhập với tư cách là người dùng thứ hai, “Mohan nói.
Hơn nữa, việc thiếu ủy quyền cho điểm cuối API được sử dụng để đặt mã PIN bí mật ngụ ý hiệu quả API có thể được khai thác để đặt lại mã PIN được liên kết với người dùng ngẫu nhiên bằng UUID của cá nhân.
“Không có thông tin liên quan đến phiên trên yêu cầu POST, vì vậy nó không bị ràng buộc với bất kỳ người dùng nào”, Mohan nói thêm.
Ngoài các vấn đề được đề cập ở trên, các lệnh gọi API từ ứng dụng di động được bảo mật bằng xác thực cơ bản có thể tránh được bằng cách xóa cờ tiêu đề “is_encrypted: 1.” Ứng dụng này cũng được phát hiện để thực hiện cơ chế ghim SSL yếu, khiến chúng dễ bị bỏ qua khi sử dụng các công cụ như Frida.
Sau khi các lỗ hổng được báo cáo cho CERT-In vào ngày 10 tháng 5, cơ quan mạng cho biết các vấn đề đã được khắc phục vào ngày 28 tháng 5.
“Bản chất của lỗ hổng là tài khoản DigiLocker của một cá nhân có khả năng bị xâm phạm nếu kẻ tấn công biết tên người dùng cho tài khoản cụ thể đó,” Digilocker nói trong một tweet tuần trước thừa nhận lỗ hổng. “Đó không phải là một lỗ hổng có thể cho phép bất cứ ai có quyền truy cập vào [the] Tài khoản DigiLocker của bất kỳ ai có tên người dùng và các chi tiết khác đều không được biết đến. “
“Sau khi phân tích, người ta đã phát hiện ra rằng lỗ hổng này đã xuất hiện trong mã khi một số tính năng mới được thêm vào gần đây. Lỗ hổng đã được nhóm kỹ thuật vá trên cơ sở ưu tiên trong một ngày nhận được cảnh báo từ CERT-In. Đây không phải là một cuộc tấn công vào cơ sở hạ tầng và không có dữ liệu, cơ sở dữ liệu, lưu trữ hoặc mã hóa nào bị xâm phạm “, nhóm nghiên cứu cho biết thêm.
