Консультант, эксперт по телекоммуникациям Роман Химич смог создать клоны приложения Дія на нескольких устройствах. В своем посте на Facebook он детально описал суть проведенного эксперимента.
Консультант, эксперт по телекоммуникациям Роман Химич смог создать клоны приложения Дія на нескольких устройствах. В своем посте на Facebook он детально описал суть проведенного эксперимента.
Сначала Роман попытался установить клон своей Дії на смартфоне сына. Но попытка оказалась неудачной.
В процессе регистрации ID-карты Дія сначала успешно распознала NFC-чип, однако затем застряла на этапе регистрации изображения владельца. В службе поддержки Роману сообщили, что на двух устройствах одновременно е-документы отображаться не будут.
Химич задался вопросом: Почему тогда попытка активации на втором устройстве не блокируется сразу?
Вооружившись собственной BankID Привата, Роман еще раз активировал первую копию Дії. В ней появился заграничный паспорт и налоговый номер. Вторую копию он поставил в защищённую область памяти смартфона.
«Это, по сути, своего рода „песочница“ (sandbox), изолированная область операционной системы, в которой можно, например, инсталлировать вторую копию программы, которая не поддерживает переключение между учётными записями», — объясняет эксперт.
Потом он ввел еще раз данные BankID.
После этого он взял еще и планшет и активировал третью копию.
Так ему удалось клонировать свои e-документы.
«Это очень плохая новость с точки зрения безопасности. Злоумышленники могут без проблем завладеть полнофункциональными документами граждан для совершения самых разных противоправных действий», — уточнил Роман.
По его словам, пользователи Дії могут не сразу обнаружить, что их документы скопировали. «Если дело происходит ночью, вы узнаете о произошедшем только утром, имея на руках ворох оформленных от вашего имени кредитов. Полчаса-час — и всё готово», — рассуждает Химич.
