Uudis

Lõputöö: pahavaraga saab varastada Smart-ID PIN-koode ja neid automaatselt sisestada

Smart-ID on juba jõudnud kõikidesse riiklikesse e-teenustesse.Foto: SK

Tartu ülikoolis kaitstud bakalaureusetöö tõestas, et pahavaraga nakatunud Androidi seadmetes on võimalik varastada Smart-ID rakendusest PIN-koode ning neid hiljem ka automaatselt sisestada.

Kuigi töö raames loodud kontseptsiooni tõestus (POC) täitis lõputöös seatud eesmärki tõdeb töö autor, et kontseptsioonil puudub teatud funktsionaalsus, mis teeks selle päriselus kasutatavaks.

Smart-ID loonud SK ID Solutions AS (SK) esindaja sõnul on töös tõendatu osas kõik kogu aeg teadlikud olnud ning erilist murekohta ei ole.

Tarkvara peab alati uuendama

Silver Maala arendas lõputöö raames Androidi seadmetel töötava pahavara, mis suutis juurkasutaja ligipääsuga telefonidele installeeritud Smart-ID äpist varastada PIN-koode ning neid hiljem ka automaatselt sisestada.

Kuigi lõputöö autor tõdeb, et töö raames tõendatul puudub funktsionaalsus, mis teeks selle päriselus kasutatavaks, siis usub ta, et täiendavate jõupingituste abil on võimalik sedagi teostada.

Loodud pahavara suudab PIN-koode varastada vaid neilt seadmetelt, mille tarkvara on kasutaja ruutinud ehk saanud juurkasutaja ligipääsu. Autori sõnul tõendab tema töö seda, et Smart-ID kasutajad peavad Androidi seadmete operatsioonisüsteemi alati esimesel võimalusel uuendama ning olema ka valvsad kolmandate osapoolte arendatud äppide installimisel.

SK ei näe murekohta

SK juht Kalev Pihl ütles Geeniusele, et küsimus ei ole konkreetse operatsioonisüsteemi spetsiifilistes rakendustes, vaid selles, et juurkasutaja ligipääsuga seadmete kasutus on alati turvalisuse mõttes mittesoovitatav ning see risk on olemuslik.

Lisaks ütles ta, et ta ei mõista, miks peaks Androidi operatsioonisüsteemi kasutaja kuidagi eriliselt murelik olema, kui üks tudeng tegi seda, mille tegemise võimalikkusest on kõik kogu aeg teadlikud olnud.

“Me oleme seni teinud ja loodame ja edasi teha koos paljude partneritega teavitustööd, et seadme ruutimine ei ole mõistlik tegevus. Samuti kui me suudame ruutimise tuvastada, siis me ka ei luba seadmesse Smart-ID kontot luua. Samas ruutimine on ju tehtud tavaliselt eesmärgiga, et see ei paistaks rakendustele välja, mistõttu tuleb siin ikka rääkida ka kasutaja teadlikkusest,” ütles ta.

Oled sa DigiPRO või Geenius? Vali sobiv tellimus siit.

Üleskutse

Aita meil podcaste teha ja saa kingituseks Geeniuse kraami

Toetan Autotundi Toetan Restarti Kuulan saateid

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.